kubernetes1.6 安装之证书(一)

最新推荐文章于 2024-07-09 21:16:25 发布
最新推荐文章于 2024-07-09 21:16:25 发布
阅读量4.2k 收藏 1
点赞数
分类专栏: Kubernetes 文章标签: kubernetes 证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010278923/article/details/71082349
版权

安装kubernetes最麻烦的地方应该就是证书的认证,由于kubernetes1.6后加的RBAC,使得配置更加麻烦了,先是制作证书,如果你对openssl或者easyrsa熟悉的话,同理可以替换,先安装cfssl。

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
chmod +x cfssl_linux-amd64
sudo mv cfssl_linux-amd64 /usr/local/bin/cfssl

wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
chmod +x cfssljson_linux-amd64
sudo mv cfssljson_linux-amd64 /usr/local/bin/cfssljson

wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x cfssl-certinfo_linux-amd64
sudo mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo

关于证书请参考我之前blog

1.生成ca证书

创建ca-config.json

{
  "signing": {
    "default": {
      "expiry": "8760h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "8760h"
      }
    }
  }
}

创建ca-csr.json

{
  "CN": "kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}

生成证书

cfssl gencert -initca ca-csr.json | cfssljson -bare ca

查看ca证书

ls ca*
ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem

2.生成kubernetes证书

创建kubernetes-csr.json

{
  "CN": "kubernetes",
  "hosts": [
    "127.0.0.1",
    "10.39.0.6",
    "10.39.0.7",
    "10.39.0.17",
    "10.39.0.53",
    "10.254.0.1",
    "kubernetes",
    "kubernetes.default",
    "kubernetes.default.svc",
    "kubernetes.default.svc.cluster",
    "kubernetes.default.svc.cluster.local"
  ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}

这个里面配置的IP,是使用该证书机器的IP,根据自己的环境填写其中10.254.0.1是kubernetes自带的service,执行生成命令:

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes

查看生成结果:

 ls kube*
kubernetes.csr  kubernetes-csr.json  kubernetes-key.pem  kubernetes.pem

3.创建admin证书

创建admin-csr.json

{
  "CN": "admin",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "system:masters",
      "OU": "System"
    }
  ]
}

生成证书

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin

查看结果:

ls admin*
admin.csr  admin-csr.json  admin-key.pem  admin.pem

4.创建proxy证书

创建kube-proxy-csr.json

{
  "CN": "system:kube-proxy",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}

生成证书

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes  kube-proxy-csr.json | cfssljson -bare kube-proxy

验证

ls kube-proxy*
kube-proxy.csr  kube-proxy-csr.json  kube-proxy-key.pem  kube-proxy.pem

5.秘钥分发

mkdir -p /etc/kubernetes/ssl
cp *.pem /etc/kubernetes/ssl

上面的是要分发到每台机器上面的,但不是每台机器的证书都是一样的,master上面和node上面要分别根据安装的组件去分发。
总的证书概览:
etcd:使用 ca.pem、kubernetes-key.pem、kubernetes.pem;
kube-apiserver:使用 ca.pem、kubernetes-key.pem、kubernetes.pem;
kubelet:使用 ca.pem;
kube-proxy:使用 ca.pem、kube-proxy-key.pem、kube-proxy.pem;
kubectl:使用 ca.pem、admin-key.pem、admin.pem;

柳清风09
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Kubernetes证书篇:手动生成二进制kubernetes集群相关证书
东城绝神
04-24 1795
《《Kubernetes证书篇:二进制手动生成kubernetes集群相关证书
Kubernetes v1.6之前版本安装配置(不包括网络,安全证书
icepoint的博客
04-01 983
配置更版本的kubernetes指南:  https://blog.csdn.net/qq_37423198/article/details/79762687 本例配置环境: master 192.168.1.107 (ubuntu17.10主机) node1 192.168.1.182 (ubuntu16.04虚拟机) (虚拟机网络模式:bridge-adapter) ...
Kubernetes安装证书验证
Kubernetes中文社区
05-08 5575
前言 昨晚(Apr 9,2017)金山软件的opsnull发布了一个开源项目和我一步步部署kubernetes集群,下文是结合我之前部署kubernetes的过程打造的kubernetes环境和opsnull的文章创建 kubernetes 各组件 TLS 加密通信的证书和秘钥的实践。之前安装过程中一直使用的是非加密方式,一直到后来使用Fluentd和ElasticSearch收集Kub
二进制部署k8s
最新发布
sx17860543449的博客
07-09 989
关闭防火墙关闭swap。
Kubernetes 证书详解
qq_37091832的博客
05-25 3477
Kubernetes 组件之间证书的关系~
k8s学习笔记-证书详解
weixin_30321449的博客
06-18 1183
在进行二进制搭建K8S集群前,我们需要梳理最磨人的一个点,就是各种各样的证书。 官方文档参考:https://kubernetes.io/docs/setup/certificates/ 一共有多少证书: 先从Etcd算起: 1、Etcd对外提供服务,要有一套etcdserver证书 2、Etcd各节点之间进行通信,要有一套etcdpeer证书 3、Kube-APIserver访问...
k8s认证
wasd12121212的博客
10-17 939
RBAC可以设置subject:user,group和serviceaccount. user不是k8s管理的,可以通过具体的服务进行管理。对应k8s中就是secret。 serviceaccount是通过k8s管理的。就是每个pod访问api server的权限。   api启动参数分为--client的各种crt,key kubelete各种证书,tls(api srever自己用于客...
Kubernetes1.6集群部署完全指南——二进制文件部署开启TLS基于CentOS7
10-24
etcd 是 Kubernetes 中的核心组件之一,负责存储集群的状态数据。为了确保 etcd 服务的安全性,需要对它进行 TLS 加密。 - 创建并配置 etcd 的 TLS 文件。 - 安装并配置 etcd 的 systemd unit 文件。 - 启动 etcd ...
kubernetes
03-21
Kubernetes是一个开源的、用于自动部署、扩展和管理容器化应用程序的系统。它是由Google发起并捐赠给Cloud Native Computing Foundation(CNCF)来维护的。Kubernetes的主要目的是使部署容器化应用更加容易、快捷,...
k8s证书认证
weixin_33955681的博客
06-21 4753
kubernetes 提供了多种安全认证机制, 其中对于集群通讯间可采用 TLS(https) 双向认证机制,也可采用基于 Token 或用户名密码的单向 tls 认证。k8s一般在内网部署,采用私有 IP 地址进行通讯,权威CA只能签署域名证书,我们这里采用自建CA。创建TLS证书和秘钥步鄹1.下载安装SSL,下载cfssl工具:https://pkg.cfssl.org/...
Kubernetes(k8s)证书机制
叮当猫的喵i
09-15 3485
参考 数字证书原理 数字签名是什么? 一文带你彻底厘清 Kubernetes 中的证书工作机制 前置知识 数字证书原理 梳理 k8s组件的认证方式 原理 数字证书的验证是在协议层面通过TLS完成的,应用层不需要特殊处理,有两种方式 单向TLS验证:客户端验证服务端的证书,只需要验证服务端身份 双向TLS验证:客户端和服务端双向验证,双方互相验证 k8s各个组件的接口都包含了集群的内部信息,因此采用双向验证,会涉及到的相关文件 服务器端证书:包含服务器端公钥和服务端身份信息 服务器端私钥 客户
【K8S运维知识汇总】第4天1:关于k8s证书
就叫一片白纸的博客
07-12 373
前情回顾: 关于k8s证书 注:证书更换时,同时需要重新生成新的Kubeconfig文件
k8s--证书签发
yanghuadong的博客
02-09 1557
1.准备签发证书环境 运维主机 hdss-1-200.host.com上: 2.安装CFSSL 证书签发工具CFSSL:R1.2 cfssl下载地址https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 cfssl-json下载地址https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 cfssl-certinfo下载地址https://pkg.cfssl.org/R1.2/cfssl-certinfo_li...
k8s证书机制
m0_46673598的博客
09-22 238
原文地址:https://www.zhaohuabing.com/post/2020-05-19-k8s-certificate/接触 Kubernetes 以来,我经常看到 Kubernetes 在不同的地方使用了证书(Certificate),在 Kubernetes 安装和组件启动参数中也需要配置大量证书相关的参数。但是 Kubernetes 的文档在解释这些证书的工作机制方面做得并不是太好。经过大量的相关阅读和分析工作后,我基本弄清楚了 Kubernetes证书的使用方式。
K8S各种各样的证书介绍
Vic的博客
10-28 3164
例如,所有etcd server证书需要是同一个CA签署的,所有的etcd peer证书也需要是同一个CA签署的,而一个etcd server证书和一个etcd peer证书,完全可以是两个CA机构签署的,彼此没有任何关系。其实实际上,使用一套证书(都使用一套CA来签署)一样可以搭建出K8S,一样可以上生产,但是理清这些证书的关系,在遇到因为证书错误,请求被拒绝的现象的时候,不至于无从下手,而且如果没有搞清证书之间的关系,在维护或者解决问题的时候,贸然更换了证书,弄不好会把整个系统搞瘫。
k8s证书文件解释
weixin_42595747的博客
06-27 701
k8s部署之使用CFSSL创建证书 wangzhkai 2018-05-12 12:07:10 6983 收藏 2 分类专栏: k8s 安装CFSSL curl -s -L -o /bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 curl -s -L -o /bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 curl -s -L -o /bin/cfssl-certi
k8s认证详解 k8s证书详解 2023推荐
yuezhilangniao的博客
08-14 1196
https是在HTTP基础上加了SSL/TLS加密传输通道,保证了数据安全。 SSL最早是由网景公司(Netscape)开发的,后被IETF(The Internet Engineering Task Force - 互联网工程任务组)标准化后写入RFC(Request For Comments),SSL在迭代到3.0后才将其标准化,并重新更名为TLS。目前TLS先后迭代了TLS 1.0、TLS 1.1、TLS 1.2和TLS 1.3,目前被广泛使用的是TLS 1.2版本。
K8S(kubeadm版)更新证书
ArrogantB的博客
03-18 1933
k8s证书过期更换,kubeadm方式更换证书
k8s--100年证书?验证
weixin_41410744的博客
09-08 1404
想要安全就必须复杂起来,证书是少不了的。在Kubernetes中提供了非常丰富的证书类型,满足各种不同场景的需求。在最初搭建K8S过程中,网上的资料都没有提到K8S还有证书到期的情况,这就导致最开始部署的环境都是1年到期。从这点上说明网上的知识也是不那么权威的,需要我们在其基础上,多思考,多总结,想全面一点。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

柳清风09

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值