CA证书与ETCD集群

最新推荐文章于 2024-06-20 11:46:02 发布
最新推荐文章于 2024-06-20 11:46:02 发布
阅读量1.2k 收藏 22
点赞数 31
分类专栏: kubernetes 文章标签: 容器 服务器 运维 linux kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Drw_Dcm/article/details/127623413
版权
本文详细介绍了如何制作K8S集群和ETCD集群的CA证书,包括服务器单向认证和双向TLS认证。从创建CA密钥到生成节点证书,涉及master和worker node端的证书制作流程,确保K8S组件间通信的安全性。
摘要由CSDN通过智能技术生成

目录

一、CA证书

二、制作K8S集群证书流程

1.制作官方颁发的证书

2.制作master端的证书

3.制作worker node端证书

(1)服务器单向认证

(3)双向 TLS 认证

三、K8S 二进制集群

1.分类

2.节点分配

四、ETCD集群

1.环境

2. K8S

3.docker

4.ETCD集群

master节点操作

(1)定义两个脚本

(2)查看etcd 启动脚本 

(3)创建ca证书

(4)创建cfssl类型工具下载脚本

node节点制作

一、CA证书

CA证书中包含密钥对 (rsa 非对称密钥)
CA证书可以对通信加密,同时标识身份的唯一性
.pem :证书

二、制作K8S集群证书流程

1.制作官方颁发的证书

① 创建ca密钥(文件定义) ca-key.pem
② 创建ca证书(文件定义) ca.pem

2.制作master端的证书

用于内部加密通讯,同时为了给与Client端颁发master签名的证书

①创建过程:需要以下几步
    1)设置私钥 确保安全加密            .pem    
    2)私钥签名 确保身份真实            .csr
    3)制作证书(需要CA官方颁发)      cert.pem

② 创建私钥
③ 私钥签名
④ 使用ca证书与密钥证书签名

3.制作worker node端证书

① 由master端制作node端密钥
② 对node端的证书进行签名
③ 创建一个配置文件(区别于服务端,进行客户端验证)
④ 生成证书

CA 证书机构 (签发电子证书)

        在 Kubernetes 的组件之间进行通信时,数字证书的验证是在协议层面通过 TLS 完成的,除了需要在建立通信时提供相关的证书和密钥外,在应用层面并不需要进行特殊处理。

采用 TLS 进行验证有两种方式:

(1)服务器单向认证

       只需要服务器端提供证书,客户端通过服务器端证书验证服务的身份,但服务器并不验证客户端的身份。这种情况一般适用于对Internet开放的服务,例如搜索引擎网站,任何客户端都可以连接到服务器上进行访问,但客户端需要验证服务器的身份,以避免连接到伪造的恶意服务器。

(3)双向 TLS 认证

       除了客户端需要验证服务器的证书,服务器也要通过客户端证书验证客户端的身份。这种情况下服务器提供的是敏感信息,只允许特定身份的客户端访问。在Kubernetes中,各个组件提供的接口中包含了集群的内部信息。如果这些接口被非法访问,将影响集群的安全,因此组件之间的通信需要采用双向TLS认证。即客户端和服务器端都需要验证对方的身份信息。在两个组件进行双向认证时,会涉及到下面这些证书相关的文件:

① 服务器端证书:服务器用于证明自身身份的数字证书,里面主要包含了服务器端的公钥以及服务器的身份信息。
② 服务器端私钥:服务器端证书中包含的公钥所对应的私钥。公钥和私钥是成对使用的,在进行TLS验证时,服务器使用该私钥来向客户端
证明自己是服务器端证书的拥有者
③ 客户端证书:客户端用于证明自身身份的数字证书,里面主要包含了客户端的公钥以及客户端的身份信息。
④ 客户端私钥:客户端证书中包含的公钥所对应的私钥,同理,客户端使用该私钥来向服务器端证明自己是客户端证书的拥有者。
⑤ 服务器端 CA 根证书:签发服务器端证书的 CA 根证书,客户端使用该 CA 根证书来验证服务器端证书的合法性。
⑥ 客户端端 CA 根证书:签发客户端证书的 CA 根证书,服务器端使用该 CA 根证书来验证客户端证书的合法性。

三、K8S 二进制集群

k8s 默认有三种部署方式:Minikube 、kubeadm、 二进制 →工具部署/云平台部署

1.分类

1)ETCD集群
2)FLANNEL网络
3)单master部署
4)node部署
5)多master署(LB部署haproxy + keepalived 或者nginx + keepalived )

2.节点分配

负载均衡(lb)

nginx01   主机ip/24
nginx02   主机ip/24

master节点 

master01  主机ip/24
master02  主机ip/24

Node节点 

node01	  主机ip/24
node02	  主机ip/24

四、ETCD集群

1.环境

官网源码包下载:https://github.com/kubernetes/kubernetes/releases?after=v1.13.1
ETCD 二进制包地址:https://github.com/etcd-io/etcd/releases

2. K8S

Master:192.168.22.228/24 kube-apiserver kube-controller-manager kube-scheduler etcd
Node01:192.168.22.168/24 kubelet kube-proxy docker flannel etcd
Node02:192.168.22.206/24 kubelet kube-proxy docker flannel etcd

3.docker

yum install -y yum-utils device-mapper-persistent-data lvm2

cd /etc/yum.repos.d/
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

yum install -y docker-ce

systemctl stop firewalld
systemctl disable firewalld

setenforce 0

systemctl start docker
systemctl enable docker

tee /etc/docker/daemon.json <<-'EOF'
{
  "registry-mirrors": ["https://jqqwsp8f.mirror.aliyuncs.com"]
}
EOF

systemctl daemon-reload
systemctl restart docker

vim /etc/sysctl.conf
net.ipv4.ip_forward=1

sysctl -p
systemctl restart network
systemctl restart docker 

swapoff -a

4.ETCD集群

master节点操作

(1)定义两个脚本

mkdir k8s

cd k8s

etcd-cert.sh 是证书制作的脚本
etcd.sh etcd启动脚本
最低0.47元/天 解锁文章
Drw_Dcm
关注
专栏目录
etcd证书
learnalwaystodie的博客
02-23 2513
wget "https://pkg.cfssl.org/R1.2/cfssl_linux-amd64" -O /usr/local/bin/cfssl wget "https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64" -O /usr/local/bin/cfssljson 1: cfssl gencert -initca ca-csr.json | cfssljson -bare ca - ca-csr.json #根请求,包括域名 国家 城市 ..
k8s etcd ca证书生成
sweetCandy_m的博客
04-20 1122
1、下载生成ca证书的插件cfssl cfssljson cfssl-certinfo wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 2、将cfssl cfssljson cfssl-certinfo修改为可执行文件 ch
K8S二进制部署之定义CA证书ETCD
l17605229954的博客
11-01 640
1、 服务器单向认证:只需要服务器端提供证书,客户端通过服务器证书验证服务的身份,但服务器并不验证客户端的身份。④ 客户端私钥:客户端证书中包含的公钥所对应的私钥,同理,客户端使用该私钥来向服务器端证明自己是客户端证书的拥有者。⑤ 服务器CA证书:签发服务器证书CA证书,客户端使用该 CA证书来验证服务器证书的合法性。⑥ 客户端端 CA证书:签发客户端证书CA证书服务器端使用该 CA证书来验证客户端证书的合法性。
[云原生k8s] k8s的CA证书创建和使用
weixin_71429850的博客
11-03 2435
Etcd 是一个分布式键值存储系统,Kubernetes 使用 Etcd 进行数据存储,所以先准备 一个 Etcd 数据库,为解决 Etcd 单点故障,应采用集群方式部署,这里使用 3 台组建集 群,可容忍 1 台机器故障,当然,你也可以使用 5 台组建集群,可容忍 2 台机器故障。ETCD_INITIAL_CLUSTER_STATE:加入集群的当前状态,new 是新集群,existing 表示加入 已有集群ETCD_INITIAL_ADVERTISE_PEER_URLS:集群通告地址。
etcd 查看所有key_k8s学习-cfssl创建etcd和master需要的证书
weixin_42509888的博客
12-21 314
第一步,自建CA,需要两个配置文件执行命令cfssl gencert -initca ca-csr.json | cfssljson -bare ca - 。得到文件ca-key.pem(私钥)和ca.pem(证书)。第二步,申请etcd证书,一个配置文件,只需要调整里面的etcd节点执行命令cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=c...
Etcd教程 — 第四章 Etcd集群安全配置_etcd 集群配置
2401_84239625的博客
04-28 1157
本文是在Etcd教程 — 第二章 Etcd集群静态发现 2.3节基础上进行的。: 用于服务端认证客户端,例如etcdctl、etcd proxy、fleetctl、docker客户端。: 服务端使用,客户端以此验证服务端身份,例如docker服务端、kube-apiserver。: 双向证书,用于etcd集群成员间通信。
etcd搭建带证书集群
SharkVeryBusy的博客
05-17 584
etcd集群搭建,及基本操作
【K8S】二进制部署之定义CA证书ETCD
y1701的博客
11-01 381
【K8S】二进制部署之定义CA证书ETCD
etcd 集群部署包 TLS.tar.gz
06-29
2. **数据加密**:通过TLS,etcd集群之间的通信以及客户端与etcd的通信都将被加密,保护敏感信息不被窃取。 3. **完整性检查**:TLS还可以检查数据在传输过程中是否被篡改。 **etcd集群TLS部署步骤** 1. **生成...
k8s之etcd查询和备份
weixin_42562106的博客
05-14 482
获取etcd证书密钥路径 kubectl describe pods -n kube-system etcd-calico115 Command: etcd --cert-file=/etc/kubernetes/pki/etcd/server.crt 对应 --cert= --key-file=/etc/kubernetes/pki/etcd/server.key 对应 --key= --trusted-ca-fi..
minikube-client:为Minikube生成客户端证书
03-21
迷你客户端 生成由Minikube的CA签名的客户端证书和密钥,以进行快速身份验证设置。 用法 minikube-client -cn myuser -o mygroup 请注意, -o接受多个组的逗号分隔字符串(例如a,b )。 您的kubeconfig将使用嵌入式客户端证书和密钥进行更新: apiVersion : v1 kind : Config # other fields... users : # other users... - name : myuser user : client-certificate-data : ... client-key-data : ... 现在运行kubectl : kubectl --user myuser ... 高级用法 您可以按照类似于kubectl规则来kubectl 。按照优先顺序,这些是: -kubeco
K8s-创建CA证书和秘钥.02
Vv的博客
01-02 2181
内容转载自:https://github.com/opsnull/follow-me-install-kubernetes-cluster/blob/master/02.%E5%88%9B%E5%BB%BACA%E8%AF%81%E4%B9%A6%E5%92%8C%E7%A7%98%E9%92%A5.md 上一篇:K8s-系统初始化.01 为确保安全,kubernetes 系统各组件需要使用 ...
ETCD 安全证书
专注基础架构领域
08-21 2699
一、证书类型介绍 client certificate 用于通过服务器验证客户端。例如etcdctl,etcd proxy,fleetctl或docker客户端。 server certificate 由服务器使用,并由客户端验证服务器身份。例如docker服务器或kube-apiserver。 peer certificate 由 etcd 集群成员使用,供它们彼此之间通信使用。 二、证书生成 1、cfssl 安装 下载 cfssl,命令如下: [root@localhost etcd]#
CA证书ETCD集群_根据证书查看etcd集群信息
最新发布
2301_79098963的博客
06-20 372
mkdir k8scd k8setcd-cert.sh 是证书制作的脚本etcd.sh etcd启动脚本cat > ca-config.json
calico 3.10.2安装(使用加密ectd集群
武小白的博客
04-26 590
wget https://github.com/projectcalico/calico/releases/download/v3.10.2/release-v3.10.2.tgz tar xf release-v3.10.2.tgz cd release-v3.10.2/k8s-manifests sed -i 's?http://<ETCD_IP>:<ETCD_PORT>?https://192.168.0.62:2379,https://192.168.0.63:2...
CC00052.CloudKubernetes——|KuberNetes&二进制部署.V05|3台Server|——|证书生成|
yanqi_vip
03-29 423
一、生成证书: ### --- Master01下载生成证书工具(下载不成功可以去百度网盘)及创建资源目录 ~~~ etcdkubernetes证书生成 ~~~ 二进制安装最关键步骤,一步错误全盘皆输,一定要注意每个步骤都要是正确的 ### ---下载证书生成工具 [root@k8s-master01 ~]# wget "https://pkg...
etcd入门详解
热门推荐
weixin_39540280的博客
12-18 3万+
1. etcd简介 简介 Etcd是CoreOS基于Raft协议开发的分布式key-value存储,可用于服务发现、共享配置以及一致性保障(如数据库选主、分布式锁等)。 在分布式系统中,如何管理节点间的状态一直是一个难题,etcd像是专门为集群环境的服务发现和注册而涉及,它提供了数据TTL失效、数据改变监视、多值、目录监听、分布式锁原子操作等功能,可以方便的跟踪并管理集群节点的状态。 特点 简单:curl可访问的用户的API(HTT...
彻底搞懂 etcd 系列文章(四):etcd 安全
aoho求索
06-14 1371
0 专辑概述etcd 是云原生架构中重要的基础组件,由 CNCF 孵化托管。etcd 在微服务和 Kubernates 集群中不仅可以作为服务注册与发现,还可以作为 key-value ...
一键生成etcd集群SSL证书工具
对于etcd集群来说,TLS证书尤为重要,因为它们确保了集群成员之间的通信安全,以及客户端与etcd集群之间的安全通信。一个etcd集群通常包括多个节点,因此,为每个节点生成TLS证书,并保证它们之间的信任关系,是集群...
评论 25
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值