Etcd教程 — 第四章 Etcd集群安全配置_etcd 集群配置(1)

前言

本文是在 Etcd教程 — 第二章 Etcd集群静态发现 2.3节 基础上进行的。

1 TLS 与 SSL

互联网的通信安全,建立在 SSL/TLS 协议之上。不使用 SSL/TLS 的 HTTP 通信,就是不加密的通信。所有信息明文传播,带来了三大风险:

  • 窃听风险(eavesdropping):第三方可以获知通信内容。
  • 篡改风险(tampering):第三方可以修改通信内容。
  • 冒充风险(pretending):第三方可以冒充他人身份参与通信。

SSL/TLS 协议是为了解决这三大风险而设计的,希望达到:

  • 所有信息都是加密传播,第三方无法窃听。
  • 具有校验机制,一旦被篡改,通信双方会立刻发现。
  • 配备身份证书,防止身份被冒充。

想要实现数据 HTTPS 加密协议访问,保障数据的安全,就需要 SSL 证书,TLS 是 SSL 与 HTTPS 安全传输层协议名称。

2 下载安装

为了进行实践,我们将会安装一些实用的命令行工具,其中包括 cfssl、cfssljson。

cfssl 是 CloudFlare 的 PKI/TLS 利器。 它既是命令行工具,又可以用于签名,验证和捆绑 TLS 证书的 HTTP API 服务器,环境构建方面需要 Go 1.12+。

cfssljson 程序,从 cfssl 获取 JSON 输出,并将证书、密钥、CSR和 bundle 写入指定位置。

2.1 选择cfssl版本

https://github.com/cloudflare/cfssl/releases 可以看到最新版本的目前是1.6.1
在这里插入图片描述

2.2 下载 cfssl

/usr/local/src 下载

cd /usr/local/src


wget https://github.com/cloudflare/cfssl/releases/download/v1.6.1/cfssl_1.6.1_linux_amd64

wget https://github.com/cloudflare/cfssl/releases/download/v1.6.1/cfssljson_1.6.1_linux_amd64

wget https://github.com/cloudflare/cfssl/releases/download/v1.6.1/cfssl-certinfo_1.6.1_linux_amd64


#拷贝文件到/usr/local/bin/目录下

cp cfssl_1.6.1_linux_amd64 /usr/local/bin/cfssl

cp cfssljson_1.6.1_linux_amd64 /usr/local/bin/cfssljson

cp cfssl-certinfo_1.6.1_linux_amd64 /usr/local/bin/cfssl-certinfo


2.3 赋予执行权限
chmod +x /usr/local/bin/cfssl*


2.4 查看安装结果
cfssl version


结果:

[root@etcd01 src]# cfssl version
Version: 1.6.1
Runtime: go1.12.12


3 TLS 加密实践

3.1 介绍

client certificate: 用于服务端认证客户端,例如etcdctl、etcd proxy、fleetctl、docker客户端。
server certificate: 服务端使用,客户端以此验证服务端身份,例如docker服务端、kube-apiserver。
peer certificate: 双向证书,用于etcd集群成员间通信。

3.2 配置CA并创建TLS证书

仅需要在单个节点上生成相关证书即可,然后再把证书复制到其他节点上。

3.2.1 创建ca配置文件 (ca-config.json)

"ca-config.json":可以定义多个 profiles,分别指定不同的过期时间、使用场景等参数;后续在签名证书时使用某个 profile;

"signing":表示该证书可用于签名其它证书;生成的 ca.pem 证书中 CA=TRUE;

"server auth":表示client可以用该 CA 对server提供的证书进行验证;

"client auth":表示server可以用该CA对client提供的证书进行验证;

/opt/cfssl/ 下创建配置文件

vim ca-config.json

{
    "signing": {
        "default": {
            "expiry": "87600h"
        },
        "profiles": {
            "etcd": {
                "expiry": "87600h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth",
                    "client auth"
                ]
            }
        }
    }
}


3.2.2 创建ca证书签名(ca-csr.json)

“CN”:Common Name,从证书中提取该字段作为请求的用户名 (User Name);浏览器使用该字段验证网站是否合法;
“O”:Organization,从证书中提取该字段作为请求用户所属的组 (Group);
这两个参数在后面的kubernetes启用RBAC模式中很重要,因为需要设置kubelet、admin等角色权限,那么在配置证书的时候就必须配置对了,具体后面在部署kubernetes的时候会进行讲解。
“在etcd这两个参数没太大的重要意义,跟着配置就好。”

创建配置文件

vim ca-csr.json

{
    "CN": "etcd CA",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "shanghai",
            "ST": "shanghai"
        }
    ]
}


3.2.3 生成ca证书和私钥
cfssl gencert -initca ca-csr.json | cfssljson -bare ca


ls
ca-config.json  ca-csr.json ca.csr ca.pem(ca公钥) ca-key.pem(ca私钥,妥善保管)


3.3 生成etcd server端证书
3.3.1 新建ca配置文件 (server-csr.json)

vim server-csr.json

{
    "CN": "etcd",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "hosts": [
    "192.168.1.221",
    "192.168.1.222",
    "192.168.1.223"
    ],
    "names": [
        {
            "C": "CN",
            "L": "shanghai",
            "ST": "shanghai"
        }
    ]
}


3.3.2 生成etcd server证书和私钥
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=etcd server-csr.json | cfssljson -bare server


ls
ca-config.json  ca-csr.json  ca-key.pem  ca.csr  ca.pem  server-csr.json  server-key.pem  server.csr  server.pem


3.4 复制证书到另外两台主机

将证书放到其他节点的同个位置上。

4 Etcd集群加入TLS证书

4.1 Etcd集群各节点信息

在这里插入图片描述

4.2 Etcd集群各节点配置

编辑各节点上的配置文件

vim /etc/etcd/etcd.conf


## 最后

**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**

**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**

**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**

![img](https://img-blog.csdnimg.cn/img_convert/801081a6e63cf394f0631c3342f0eeca.png)

![img](https://img-blog.csdnimg.cn/img_convert/bf89f36c71aa2a49989c31cf58acdb79.png)

![img](https://img-blog.csdnimg.cn/img_convert/755f22d63a7c99592e4f27a1b602879c.png)

![img](https://img-blog.csdnimg.cn/img_convert/a0a10c7951ee389fc676c108fc730b43.png)

![img](https://img-blog.csdnimg.cn/img_convert/699e1d0659407ac401d292669573d063.png)

 

**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**

[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**

9298)]

[外链图片转存中...(img-FYjoWDmv-1715487049298)]

[外链图片转存中...(img-IO3VuCdn-1715487049299)]

[外链图片转存中...(img-9EUANGId-1715487049299)]

 

**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**

[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**

  • 22
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
etcd 是一个高可用的分布式 key-value 存储系统,可以用于分布式锁、服务发现、共享配置等场景。在使用 etcd 时,为了保证其高可用性,通常需要使用多个节点组成 etcd 集群。以下是配置 etcd 3 节点集群步骤: 1. 安装 etcd 在每个节点上安装 etcd。具体步骤可以参考 etcd 的官方文档。 2. 修改配置文件 在每个节点上修改 etcd配置文件,一般位于 /etc/etcd/etcd.conf: ``` # Node 1 name: "node1" data-dir: "/var/lib/etcd" listen-peer-urls: "https://192.168.0.1:2380" listen-client-urls: "https://192.168.0.1:2379" initial-advertise-peer-urls: "https://192.168.0.1:2380" advertise-client-urls: "https://192.168.0.1:2379" initial-cluster: "node1=https://192.168.0.1:2380,node2=https://192.168.0.2:2380,node3=https://192.168.0.3:2380" initial-cluster-token: "my-etcd-cluster" initial-cluster-state: "new" client-transport-security: cert-file: "/etc/ssl/etcd/etcd.pem" key-file: "/etc/ssl/etcd/etcd-key.pem" trusted-ca-file: "/etc/ssl/etcd/ca.pem" peer-transport-security: cert-file: "/etc/ssl/etcd/etcd.pem" key-file: "/etc/ssl/etcd/etcd-key.pem" trusted-ca-file: "/etc/ssl/etcd/ca.pem" # Node 2 name: "node2" data-dir: "/var/lib/etcd" listen-peer-urls: "https://192.168.0.2:2380" listen-client-urls: "https://192.168.0.2:2379" initial-advertise-peer-urls: "https://192.168.0.2:2380" advertise-client-urls: "https://192.168.0.2:2379" initial-cluster: "node1=https://192.168.0.1:2380,node2=https://192.168.0.2:2380,node3=https://192.168.0.3:2380" initial-cluster-token: "my-etcd-cluster" initial-cluster-state: "new" client-transport-security: cert-file: "/etc/ssl/etcd/etcd.pem" key-file: "/etc/ssl/etcd/etcd-key.pem" trusted-ca-file: "/etc/ssl/etcd/ca.pem" peer-transport-security: cert-file: "/etc/ssl/etcd/etcd.pem" key-file: "/etc/ssl/etcd/etcd-key.pem" trusted-ca-file: "/etc/ssl/etcd/ca.pem" # Node 3 name: "node3" data-dir: "/var/lib/etcd" listen-peer-urls: "https://192.168.0.3:2380" listen-client-urls: "https://192.168.0.3:2379" initial-advertise-peer-urls: "https://192.168.0.3:2380" advertise-client-urls: "https://192.168.0.3:2379" initial-cluster: "node1=https://192.168.0.1:2380,node2=https://192.168.0.2:2380,node3=https://192.168.0.3:2380" initial-cluster-token: "my-etcd-cluster" initial-cluster-state: "new" client-transport-security: cert-file: "/etc/ssl/etcd/etcd.pem" key-file: "/etc/ssl/etcd/etcd-key.pem" trusted-ca-file: "/etc/ssl/etcd/ca.pem" peer-transport-security: cert-file: "/etc/ssl/etcd/etcd.pem" key-file: "/etc/ssl/etcd/etcd-key.pem" trusted-ca-file: "/etc/ssl/etcd/ca.pem" ``` 每个节点的配置文件需要修改以下参数: - name:节点名称,需要在集群中唯一。 - data-dir:数据存储目录。 - listen-peer-urls:节点间通信的地址。需要指定 https 协议和端口号。 - listen-client-urls:客户端访问 etcd 的地址。需要指定 https 协议和端口号。 - initial-advertise-peer-urls:节点向其他节点宣告自己的地址。需要指定 https 协议和端口号。 - advertise-client-urls:节点向客户端宣告自己的地址。需要指定 https 协议和端口号。 - initial-cluster:集群中所有节点的信息。每个节点信息格式为 name=https://ip:port。需要注意,节点名称一定要与配置文件中的 name 参数一致。 - initial-cluster-token:集群令牌,需要在所有节点中保持一致。 - initial-cluster-state:集群状态。第一次启动时为 new,之后为 existing。 - client-transport-security:客户端访问 etcd安全配置。 - peer-transport-security:节点间通信的安全配置。 3. 启动 etcd 在每个节点上启动 etcd 服务: ``` $ systemctl start etcd ``` 4. 验证集群状态 在任意一个节点上执行以下命令,可以查看集群状态: ``` $ etcdctl --endpoints=https://192.168.0.1:2379,https://192.168.0.2:2379,https://192.168.0.3:2379 --ca-file=/etc/ssl/etcd/ca.pem --cert-file=/etc/ssl/etcd/etcd.pem --key-file=/etc/ssl/etcd/etcd-key.pem cluster-health ``` 输出结果为: ``` member 9c61b7b4b666f72 is healthy: got healthy result from https://192.168.0.1:2379 member d21cfc0987b4d8f is healthy: got healthy result from https://192.168.0.2:2379 member f4d7a7f4d2a5cee is healthy: got healthy result from https://192.168.0.3:2379 cluster is healthy ``` 表示集群状态正常。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值