Etcd教程 — 第四章 Etcd集群安全配置_etcd 集群配置

最新推荐文章于 2024-10-01 15:16:38 发布
最新推荐文章于 2024-10-01 15:16:38 发布
阅读量1.1k 收藏 24
点赞数 30
分类专栏: 程序员 文章标签: etcd 安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84239625/article/details/138270430
版权
本文详细介绍了如何在Etcd集群中配置和生成TLS证书,包括创建CA、签发服务器和客户端证书,以及在各节点上复制和配置证书,确保集群的安全通信。
摘要由CSDN通过智能技术生成 
+ [3.3 生成etcd server端证书](#33_etcd_server_140)
+ - [3.3.1 新建ca配置文件 (server-csr.json)](#331_ca_servercsrjson_141)
	- [3.3.2 生成etcd server证书和私钥](#332_etcd_server_165)
+ [3.4 复制证书到另外两台主机](#34__174)

前言

本文是在 Etcd教程 — 第二章 Etcd集群静态发现 2.3节 基础上进行的。

1 TLS 与 SSL

互联网的通信安全,建立在 SSL/TLS 协议之上。不使用 SSL/TLS 的 HTTP 通信,就是不加密的通信。所有信息明文传播,带来了三大风险:

  • 窃听风险(eavesdropping):第三方可以获知通信内容。
  • 篡改风险(tampering):第三方可以修改通信内容。
  • 冒充风险(pretending):第三方可以冒充他人身份参与通信。

SSL/TLS 协议是为了解决这三大风险而设计的,希望达到:

  • 所有信息都是加密传播,第三方无法窃听。
  • 具有校验机制,一旦被篡改,通信双方会立刻发现。
  • 配备身份证书,防止身份被冒充。

想要实现数据 HTTPS 加密协议访问,保障数据的安全,就需要 SSL 证书,TLS 是 SSL 与 HTTPS 安全传输层协议名称。

2 下载安装

为了进行实践,我们将会安装一些实用的命令行工具,其中包括 cfssl、cfssljson。

cfssl 是 CloudFlare 的 PKI/TLS 利器。 它既是命令行工具,又可以用于签名,验证和捆绑 TLS 证书的 HTTP API 服务器,环境构建方面需要 Go 1.12+。

cfssljson 程序,从 cfssl 获取 JSON 输出,并将证书、密钥、CSR和 bundle 写入指定位置。

2.1 选择cfssl版本

<
最低0.47元/天 解锁文章
etcd3.7.2集群搭建(静态配置
wzz_ccr的博客
09-13 1353
etcd集群分为静态配置etcd发现,dns发现三种,本文操作为手动静态配置 ---------------------------------------------------------------------------------------------------------------------------- 环境: centos7 node-1:192.168.1.17
etcd构建自身高可用集群
Lzxccas的博客
01-05 696
概述 1.etcd构建自身高可用集群主要有三种形式** 1.静态发现 预先已知etcd集群中有哪些节点,在启动时通过–initial-cluster参数直接指定好etcd的各个节点地址 2.etcd动态发现 静态配置前提是在搭建集群之前已经提前知道各节点的信息,而实际应用中可能存在预先并不知道各节点ip的情况, 这时可通过已经搭建的etcd来辅助搭建新的etcd集群。通过已有的etcd集群作为数据交互点,然后在扩展新的集群时 实现通过已有集群进行服务发现的机制。比如官方提供的:discovery.etcd.
etcd: 集群配置
amadeus_liu2的博客
04-02 186
1.配置文件 name: etcd-1 data-dir: /data/etcd listen-client-urls: http://0.0.0.0:2379 advertise-client-urls: http://188.131.172.xx:2379 listen-peer-urls: http://0.0.0.0:2380 initial-advertise-peer-urls: http://188.131.172.xx:2380 initial-cluster: etcd-1=h
21.2 k8s中etcdtls双向认证原理解析
最新发布
福大大架构师每日一题
10-01 1371
tls单向认证原理tls双向认证原理在k8s中etcd监控的应用以ca.crt client.crt client.key创建的secret并挂载到prometheus中prometheus配置证书信息打到采集etcd的目的。
Etcd教程第四章 Etcd集群安全配置
Mr_XiMu的博客
06-22 3509
Etcd教程第四章 Etcd集群安全配置
Etcd教程第四章 Etcd集群安全配置_etcd 集群配置,网络安全开发工程师面试题
2401_83947434的博客
04-15 784
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。这两个参数在后面的kubernetes启用RBAC模式中很重要,因为需要设置kubelet、admin等角色权限,那么在配置证书的时候就必须配置对了,具体后面在部署kubernetes的时候会进行讲解。
Kubernetes集群部署教程-ETCD集群部署
guting18893110463的博客
04-10 1175
Etcd 是一个分布式键值存储系统,Kubernetes使用Etcd进行数据存储,所以先准备一个Etcd数据库,为解决Etcd单点故障,应采用集群方式部署
k8s外接etcd集群服务异常,使用snapshot恢复etcd集群
wenbo885的博客
12-31 1206
2:etcd的数据计划存储在/var/lib/etcd/目录下,所以删除etcd集群中每个节点/var/lib/etcd/目录下的数据,确保/var/lib/etcd/是空目录,或者/var/lib/etcd/是新创建的目录。生产环境中我们为了避免出现误操作或者是服务器硬件出见异常导致宕机,我们的虚拟机或者k8s集群崩溃,所以我们都会创建多节点的高可用集群,包括k8s集群使用外接etcd集群,但有时也可能出现数据丢失,所以经常要备份数据。4:查看服务状态,以及etcd服务是否启动,集群是否正常。
PostgreSQL基于ETCD mirror-make流复制搭建跨DC的PG集群高可用方案
07-20
#### 第4章 问题 & 结论 本节将详细介绍不同故障情况下的处理结果。 ##### 4.1 环境描述 - **PG集群**:由4个PG数据库节点组成,2个位于DC1,2个位于DC2。 - **ETCD集群**:2个ETCD集群ETCD1位于DC1,ETCD2位于...
网络安全行业需要学历吗?需要考研吗?(1)
2401_84239830的博客
04-27 373
👉👈​。
etcd集群部署
wyl9527的博客
05-26 1616
etcd是一个Go语言编写的分布式、高可用的一致性键值存储系统,用于提供可靠的分布式键值(keyvalue)存储、配置共享和服务发现等功能。etcd官网文档地址。
etcd集群搭建使用
robinhunan的博客
12-09 2632
ETCD是用于共享配置和服务发现的分布式,一致性的KV存储系统。ETCD是CoreOS公司发起的一个开源项目,授权协议为Apache。
etcd集群配置
junzixing1985的博客
05-19 1736
简介: etcd:key-value键值存储数据库,用来存储kubernetes的信息的。 部署规划 这里我用3台服务器搭建一个简单的集群: 192.168.0.157 # master节点 192.168.0.158 # node节点 192.168.0.159 # node节点 1 、三个节点安装 etcd yum install etcd -y 2、etcd集群配置 ...
etcd高可用集群部署
the_coco的博客
08-08 1537
在生产环境中,为了整个集群的高可用,etcd 正常都会集群部署,避免单点故障。
01-ETCD集群部署
qq_16125927的博客
01-04 1404
大意:etcd 是兼具一致性和高可用性的键值数据库,可以作为保存 Kubernetes 所有集群数据的后台数据库
etcd集群搭建
我的博客
03-04 281
etcd是一种以key-value形式的分布式存储。 etcd配置: name etcd1 名称各个节点都是唯一的 client 配置: listen-client-urls http://127.0.0.1:2379 监听client advertise-client-urls http://127.0....
ETCD集群部署
小单的博客专栏
03-13 4636
ETCD集群部署+flannel 附件 /opt/soft/etcd/etcd-v3.4.4-linux-amd64.tar.gz 下载地址:https://github.com/etcd-io/etcd/releases 服务器 192.168.1.54、192.168.1.65、192.168.1.105 安装 1、解压包(每台机器) ETCD_VER=v3.4.4 cd /opt/soft/...
ETCD集群管理,看这一篇干货就够了
gjjumin的专栏
12-19 1169
etcd集群的管理,一种是etcd单独部署的,一种是在kubernetes上pod跑的etcd机器,两种集群使用不同的工具管理
etcd 3节点集群配置
05-25
etcd 是一个高可用的分布式 key-value 存储系统,可以用于分布式锁、服务发现、共享配置等场景。在使用 etcd 时,为了保证其高可用性,通常需要使用多个节点组成 etcd 集群。以下是配置 etcd 3 节点集群的步骤: 1. 安装 etcd 在每个节点上安装 etcd。具体步骤可以参考 etcd 的官方文档。 2. 修改配置文件 在每个节点上修改 etcd配置文件,一般位于 /etc/etcd/etcd.conf: ``` # Node 1 name: "node1" data-dir: "/var/lib/etcd" listen-peer-urls: "https://192.168.0.1:2380" listen-client-urls: "https://192.168.0.1:2379" initial-advertise-peer-urls: "https://192.168.0.1:2380" advertise-client-urls: "https://192.168.0.1:2379" initial-cluster: "node1=https://192.168.0.1:2380,node2=https://192.168.0.2:2380,node3=https://192.168.0.3:2380" initial-cluster-token: "my-etcd-cluster" initial-cluster-state: "new" client-transport-security: cert-file: "/etc/ssl/etcd/etcd.pem" key-file: "/etc/ssl/etcd/etcd-key.pem" trusted-ca-file: "/etc/ssl/etcd/ca.pem" peer-transport-security: cert-file: "/etc/ssl/etcd/etcd.pem" key-file: "/etc/ssl/etcd/etcd-key.pem" trusted-ca-file: "/etc/ssl/etcd/ca.pem" # Node 2 name: "node2" data-dir: "/var/lib/etcd" listen-peer-urls: "https://192.168.0.2:2380" listen-client-urls: "https://192.168.0.2:2379" initial-advertise-peer-urls: "https://192.168.0.2:2380" advertise-client-urls: "https://192.168.0.2:2379" initial-cluster: "node1=https://192.168.0.1:2380,node2=https://192.168.0.2:2380,node3=https://192.168.0.3:2380" initial-cluster-token: "my-etcd-cluster" initial-cluster-state: "new" client-transport-security: cert-file: "/etc/ssl/etcd/etcd.pem" key-file: "/etc/ssl/etcd/etcd-key.pem" trusted-ca-file: "/etc/ssl/etcd/ca.pem" peer-transport-security: cert-file: "/etc/ssl/etcd/etcd.pem" key-file: "/etc/ssl/etcd/etcd-key.pem" trusted-ca-file: "/etc/ssl/etcd/ca.pem" # Node 3 name: "node3" data-dir: "/var/lib/etcd" listen-peer-urls: "https://192.168.0.3:2380" listen-client-urls: "https://192.168.0.3:2379" initial-advertise-peer-urls: "https://192.168.0.3:2380" advertise-client-urls: "https://192.168.0.3:2379" initial-cluster: "node1=https://192.168.0.1:2380,node2=https://192.168.0.2:2380,node3=https://192.168.0.3:2380" initial-cluster-token: "my-etcd-cluster" initial-cluster-state: "new" client-transport-security: cert-file: "/etc/ssl/etcd/etcd.pem" key-file: "/etc/ssl/etcd/etcd-key.pem" trusted-ca-file: "/etc/ssl/etcd/ca.pem" peer-transport-security: cert-file: "/etc/ssl/etcd/etcd.pem" key-file: "/etc/ssl/etcd/etcd-key.pem" trusted-ca-file: "/etc/ssl/etcd/ca.pem" ``` 每个节点的配置文件需要修改以下参数: - name:节点名称,需要在集群中唯一。 - data-dir:数据存储目录。 - listen-peer-urls:节点间通信的地址。需要指定 https 协议和端口号。 - listen-client-urls:客户端访问 etcd 的地址。需要指定 https 协议和端口号。 - initial-advertise-peer-urls:节点向其他节点宣告自己的地址。需要指定 https 协议和端口号。 - advertise-client-urls:节点向客户端宣告自己的地址。需要指定 https 协议和端口号。 - initial-cluster:集群中所有节点的信息。每个节点信息格式为 name=https://ip:port。需要注意,节点名称一定要与配置文件中的 name 参数一致。 - initial-cluster-token:集群令牌,需要在所有节点中保持一致。 - initial-cluster-state:集群状态。第一次启动时为 new,之后为 existing。 - client-transport-security:客户端访问 etcd安全配置。 - peer-transport-security:节点间通信的安全配置。 3. 启动 etcd 在每个节点上启动 etcd 服务: ``` $ systemctl start etcd ``` 4. 验证集群状态 在任意一个节点上执行以下命令,可以查看集群状态: ``` $ etcdctl --endpoints=https://192.168.0.1:2379,https://192.168.0.2:2379,https://192.168.0.3:2379 --ca-file=/etc/ssl/etcd/ca.pem --cert-file=/etc/ssl/etcd/etcd.pem --key-file=/etc/ssl/etcd/etcd-key.pem cluster-health ``` 输出结果为: ``` member 9c61b7b4b666f72 is healthy: got healthy result from https://192.168.0.1:2379 member d21cfc0987b4d8f is healthy: got healthy result from https://192.168.0.2:2379 member f4d7a7f4d2a5cee is healthy: got healthy result from https://192.168.0.3:2379 cluster is healthy ``` 表示集群状态正常。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值