为etcd集群生成TLS证书

于 2023-08-02 17:23:23 发布
阅读量398 收藏
点赞数
文章标签: etcd 数据库 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Niklauson/article/details/132066649
版权

背景:
我是在"10.0.132.111", “10.0.134.144”, “10.0.128.191” 这三台虚拟机上安装etcd集群,每台一个etcd服务。

一. 安装cfssl

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64

chmod +x cfssl_linux-amd64 cfssljson_linux-amd64

mv cfssl_linux-amd64 /usr/bin/cfssl
mv cfssljson_linux-amd64 /usr/bin/cfssljson

二. 创建CA证书,客户端,服务端,节点之间的证书
2.1 证书配置 ca-config.json

{
    "signing": {
        "default": {
            "expiry": "43800h"
        },
        "profiles": {
            "server": {
                "expiry": "43800h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth",
                    "client auth"
                ]
            },
            "client": {
                "expiry": "43800h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "client auth"
                ]
            },
            "peer": {
                "expiry": "43800h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth",
                    "client auth"
                ]
            }
        }
    }
}

2.2 证书签名请求配置 ca-csr.json

{
    "CN": "etcd",
    "hosts": [
        "10.0.132.111",
        "10.0.134.144",
        "10.0.128.191",
        "127.0.0.1"
    ],
    "key": {
        "algo": "ecdsa",
        "size": 256
    },
    "names": [
        {
            "C": "CN",
            "ST": "SH",
            "L": "SH"
        }
    ]
}

2.3 生成CA证书和私钥

cfssl gencert -initca ca-csr.json | cfssljson -bare ca

2.4 客户端证书配置 client.json

{
    "CN": "client",
    "hosts": [""],
    "key": {
        "algo": "ecdsa",
        "size": 256
    }
}

2.5 生成客户端 client 证书

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=client client.json  | cfssljson -bare client -

2.6 server 端证书配置 etcd.json

{
    "CN": "etcd",
    "hosts": [
        "10.0.132.111",
        "10.0.134.144",
        "10.0.128.191",
        "127.0.0.1"
    ],
    "key": {
        "algo": "ecdsa",
        "size": 256
    },
    "names": [
        {
            "C": "CN",
            "L": "SH",
            "ST": "SH"
        }
    ]
}

2.7 生成 server 证书

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=server etcd.json | cfssljson -bare server

2.8 生成 peer 证书

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=peer etcd.json | cfssljson -bare peer

注意证书配置中hosts, 127.0.0.1 必须添加,否则影响用户认证开启状态下,root用户的默认创建。

证书生成结果展示:
在这里插入图片描述

以下是三台虚拟机上 etcd 服务的 docker-compose.yaml , 开启用户认证和 tls 认证,证书的引用方式在其中已展示,证书路径为当前 docker-compose.yaml 文件同级目录ssl 下,etcd版本为3.5.7,仅供参考:

节点:10.0.132.111

version: '3'

services:
  etcd01:
    image: bitnami/etcd:latest
    container_name: etcd01
    environment:
      - ETCD_NAME=etcd01
      - ETCD_ROOT_PASSWORD=hillstone
      - ETCD_CLIENT_CERT_AUTH=true
      - ETCD_PEER_CLIENT_CERT_AUTH=true
      - ETCD_ADVERTISE_CLIENT_URLS=https://10.0.132.111:12379
      - ETCD_INITIAL_ADVERTISE_PEER_URLS=https://10.0.132.111:12380
      - ETCD_LISTEN_CLIENT_URLS=https://0.0.0.0:2379
      - ETCD_LISTEN_PEER_URLS=https://0.0.0.0:2380
      - ETCD_INITIAL_CLUSTER_TOKEN=config_etcd_cluster
      - ETCD_INITIAL_CLUSTER=etcd01=https://10.0.132.111:12380,etcd02=https://10.0.134.144:12380,etcd03=https://10.0.128.191:12380
      - ETCD_INITIAL_CLUSTER_STATE=new
      #- ETCD_LOG_LEVEL=debug
      - ETCD_TRUSTED_CA_FILE=/opt/bitnami/etcd/ssl/ca.pem
      - ETCD_KEY_FILE=/opt/bitnami/etcd/ssl/server-key.pem
      - ETCD_CERT_FILE=/opt/bitnami/etcd/ssl/server.pem
      - ETCD_PEER_TRUSTED_CA_FILE=/opt/bitnami/etcd/ssl/ca.pem
      - ETCD_PEER_KEY_FILE=/opt/bitnami/etcd/ssl/peer-key.pem
      - ETCD_PEER_CERT_FILE=/opt/bitnami/etcd/ssl/peer.pem
    volumes:
      - /etc/localtime:/etc/localtime
      - ./data:/bitnami/etcd/data
      - ./ssl/ca.pem:/opt/bitnami/etcd/ssl/ca.pem
      - ./ssl/peer.pem:/opt/bitnami/etcd/ssl/peer.pem
      - ./ssl/peer-key.pem:/opt/bitnami/etcd/ssl/peer-key.pem
      - ./ssl/server.pem:/opt/bitnami/etcd/ssl/server.pem
      - ./ssl/server-key.pem:/opt/bitnami/etcd/ssl/server-key.pem
      - ./ssl/client-key.pem:/opt/bitnami/etcd/ssl/client-key.pem
      - ./ssl/client.pem:/opt/bitnami/etcd/ssl/client.pem
    ports:
      - 12379:2379
      - 12380:2380

节点:10.0.134.144

version: '3'

services:
  etcd02:
    image: bitnami/etcd:latest
    container_name: etcd02
    environment:
      - ETCD_NAME=etcd02
      - ETCD_ROOT_PASSWORD=hillstone
      - ETCD_CLIENT_CERT_AUTH=true
      - ETCD_PEER_CLIENT_CERT_AUTH=true
      - ETCD_ADVERTISE_CLIENT_URLS=https://10.0.134.144:12379
      - ETCD_INITIAL_ADVERTISE_PEER_URLS=https://10.0.134.144:12380
      - ETCD_LISTEN_CLIENT_URLS=https://0.0.0.0:2379
      - ETCD_LISTEN_PEER_URLS=https://0.0.0.0:2380
      - ETCD_INITIAL_CLUSTER_TOKEN=etcd_cluster
      - ETCD_INITIAL_CLUSTER=etcd01=https://10.0.132.111:12380,etcd02=https://10.0.134.144:12380,etcd03=https://10.0.128.191:12380
      - ETCD_INITIAL_CLUSTER_STATE=new
      #- ETCD_LOG_LEVEL=debug
      - ETCD_TRUSTED_CA_FILE=/opt/bitnami/etcd/ssl/ca.pem
      - ETCD_KEY_FILE=/opt/bitnami/etcd/ssl/server-key.pem
      - ETCD_CERT_FILE=/opt/bitnami/etcd/ssl/server.pem
      - ETCD_PEER_TRUSTED_CA_FILE=/opt/bitnami/etcd/ssl/ca.pem
      - ETCD_PEER_KEY_FILE=/opt/bitnami/etcd/ssl/peer-key.pem
      - ETCD_PEER_CERT_FILE=/opt/bitnami/etcd/ssl/peer.pem
    volumes:
      - /etc/localtime:/etc/localtime
      - ./data:/bitnami/etcd/data
      - ./ssl/ca.pem:/opt/bitnami/etcd/ssl/ca.pem
      - ./ssl/peer.pem:/opt/bitnami/etcd/ssl/peer.pem
      - ./ssl/peer-key.pem:/opt/bitnami/etcd/ssl/peer-key.pem
      - ./ssl/server.pem:/opt/bitnami/etcd/ssl/server.pem
      - ./ssl/server-key.pem:/opt/bitnami/etcd/ssl/server-key.pem
      - ./ssl/client-key.pem:/opt/bitnami/etcd/ssl/client-key.pem
      - ./ssl/client.pem:/opt/bitnami/etcd/ssl/client.pem
    ports:
      - 12379:2379
      - 12380:2380

节点:10.0.128.191

version: '3'

services:
  etcd03:
    image: bitnami/etcd:latest
    container_name: etcd03
    environment:
      - ETCD_NAME=etcd03
      - ETCD_ROOT_PASSWORD=hillstone
      - ETCD_CLIENT_CERT_AUTH=true
      - ETCD_PEER_CLIENT_CERT_AUTH=true
      - ETCD_ADVERTISE_CLIENT_URLS=https://10.0.128.191:12379
      - ETCD_INITIAL_ADVERTISE_PEER_URLS=https://10.0.128.191:12380
      - ETCD_LISTEN_CLIENT_URLS=https://0.0.0.0:2379
      - ETCD_LISTEN_PEER_URLS=https://0.0.0.0:2380
      - ETCD_INITIAL_CLUSTER_TOKEN=etcd_cluster
      - ETCD_INITIAL_CLUSTER=etcd01=https://10.0.132.111:12380,etcd02=https://10.0.134.144:12380,etcd03=https://10.0.128.191:12380
      - ETCD_INITIAL_CLUSTER_STATE=new
      #- ETCD_LOG_LEVEL=debug
      - ETCD_TRUSTED_CA_FILE=/opt/bitnami/etcd/ssl/ca.pem
      - ETCD_KEY_FILE=/opt/bitnami/etcd/ssl/server-key.pem
      - ETCD_CERT_FILE=/opt/bitnami/etcd/ssl/server.pem
      - ETCD_PEER_TRUSTED_CA_FILE=/opt/bitnami/etcd/ssl/ca.pem
      - ETCD_PEER_KEY_FILE=/opt/bitnami/etcd/ssl/peer-key.pem
      - ETCD_PEER_CERT_FILE=/opt/bitnami/etcd/ssl/peer.pem
    volumes:
      - /etc/localtime:/etc/localtime
      - ./data:/bitnami/etcd/data
      - ./ssl/ca.pem:/opt/bitnami/etcd/ssl/ca.pem
      - ./ssl/peer.pem:/opt/bitnami/etcd/ssl/peer.pem
      - ./ssl/peer-key.pem:/opt/bitnami/etcd/ssl/peer-key.pem
      - ./ssl/server.pem:/opt/bitnami/etcd/ssl/server.pem
      - ./ssl/server-key.pem:/opt/bitnami/etcd/ssl/server-key.pem
      - ./ssl/client-key.pem:/opt/bitnami/etcd/ssl/client-key.pem
      - ./ssl/client.pem:/opt/bitnami/etcd/ssl/client.pem
    ports:
      - 12379:2379
      - 12380:2380

etctctl 命令查询集群状态(因为开启了证书认证和用户认证,所以需要添加相关的参数):

etcdctl --endpoints=https://10.0.132.111:12379,https://10.0.134.144:12379,https://10.0.128.191:12379  --cacert=./ssl/ca.pem --cert=./ssl/client.pem  --key=./ssl/client-key.pem --user root:hillstone endpoint status --write-out=table

在这里插入图片描述

Niklauson
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ETCD的创建
learnalwaystodie的博客
12-23 941
etcd安装摘要
一步一步教你在linux系统上安装二进制cfssl软件
最新发布
weixin_42559871的博客
05-07 409
如果不能访问网址https://pkg.cfssl.org/R1.2/的话,可以去这儿下载:https://wwl.lanzoum.com/ivk6M1sll7ih,下载完毕之后通过rz命令或者其它方式上传到linux机器上,需要下载的软件有3个,分别是cfssl_linux-amd64、cfssljson_linux-amd64、cfssl-certinfo_linux-amd64。这个网址https://pkg.cfssl.org/R1.2/对于国内的用户来说不稳定,有时候能访问,有时候不能访问。
使用docker方式安装etcd集群,带TLS证书
weixin_30788731的博客
03-13 994
网上文档也多,安装的时候,还是踩了几个坑。 现在作一个安装记录吧。 1,先作自签名的证书ca-csr.json(为了和k8s共用根证书,可能将信息调为k8s)。 { "CN": "kubernetes", "key": { "algo": "rsa", "size": 2048 }, "ca": { "...
etcd TLS集群
正宗文于
10-11 604
概述 etcd集群默认情况下使用明文互相通讯,在某些场景下不安全,etcd走的都是HTTP协议,当然可以使用TLS/SSL方式加密通讯。 etcd集群用到三个证书: client证书:用于客户端程序,如etcdctl连接 server证书服务器证书,验证客户端身份 peer证书集群成员直接通讯使用 证书的X509v3 extensions信息部分,X509v3 Extended Key Usage表示证书的用途。 server证书"server auth",client证书"cl
Kubernetes 集群部署ETCD集群部署(二)
abel_dwh的博客
05-10 1043
etcd是Kubernetes提供默认的存储系统,保存所有集群数据,使用时需要为etcd数据提供备份计划。
kubernetes,ETCD灾备恢复,重新生成证书,重新生成配置文件
qq_22648091的博客
08-08 1749
备份原来的证书帮助信息生成新的证书
一键安装高可用etcd集群TLS
11-21
# 一键安装高可用etcd集群TLS) # qq/wx: 48092788 e-mail: gcode@qq.com # blog: https://blog.csdn.net/guestcode # create: 2018-11-21 ############################################################ #...
etcd 集群部署TLS.tar.gz
06-29
**etcd集群部署详解** etcd是一个分布式的、高可用的键值存储系统,用于共享配置...通过理解TLS的工作原理和etcd集群部署步骤,我们可以构建一个安全、高可用的etcd集群,为k8s提供稳定且安全的服务发现和配置管理。
etcd证书生成工具,cfssl
03-10
3. **多主机部署**: 在多主机etcd集群中,每个节点都需要有自己的服务器证书,并且需要相互信任,cfssl可以帮助轻松完成这一任务。 **四、cfssl的其他应用场景** 除了etcd,cfssl还可以用于其他需要SSL/TLS证书的...
Kubernetes 证书一键生成(包含 etcd 证书)
04-30
例如,API服务器证书和私钥需要在所有API服务器节点上可用,etcd证书则要在etcd集群的每个成员上。 总的来说,"Kubernetes证书一键生成"工具显著简化了Kubernetes集群证书管理和维护工作,对于运维人员来说是一大...
基于ARM64架构etcd证书一键生成工具
04-17
在这种情况下,`etcd_ssl`工具可能是填补这个空白的解决方案,帮助用户在ARM64设备上快速设置安全的etcd集群。 在实际操作中,我们需要根据`etcd_ssl`的具体使用说明来执行命令,可能包括提供域名、组织信息等参数...
Etcd教程 — 第四章 Etcd集群安全配置
Mr_XiMu的博客
06-22 2731
Etcd教程 — 第四章 Etcd集群安全配置
etcd+tls集群部署文档
松果177的博客
12-13 1023
etcd+tls集群部署文档   前言 kubeadm安装的集群,默认etcd是一个单机的容器化的etcd,这里改造成三节点的etcd集群。 首先我们需要先部署一个三节点的etcd集群,二进制部署,systemd守护进程,并且需要生成ca证书。   ETCD集群详情 kuberntes 系统使用 etcd 存储所有数据,此外calico网络也使用该etcd集群,本文档介绍部署一个三节点高...
[云原生k8s] k8s的CA证书创建和使用
weixin_71429850的博客
11-03 1876
Etcd 是一个分布式键值存储系统,Kubernetes 使用 Etcd 进行数据存储,所以先准备 一个 Etcd 数据库,为解决 Etcd 单点故障,应采用集群方式部署,这里使用 3 台组建集 群,可容忍 1 台机器故障,当然,你也可以使用 5 台组建集群,可容忍 2 台机器故障。ETCD_INITIAL_CLUSTER_STATE:加入集群的当前状态,new 是新集群,existing 表示加入 已有集群ETCD_INITIAL_ADVERTISE_PEER_URLS:集群通告地址。
etcd集群(TLS)搭建和使用
owen
12-08 4737
环境 name ip os etcd1 192.168.79.103 centos7 etcd2 192.168.79.104 centos7 etcd3 192.168.79.105 centos7 以下操作默认在etcd1执行 1、安装cfssl rm -f /tmp/cfssl* && rm -rf /tmp/certs && mkdir -p /tmp/certs curl -L https://pkg.cfssl.org/R1.2/cf
Etcd教程 — 第一章 Etcd简介、Etcd单机安装
Mr_XiMu的博客
05-29 7770
Etcd教程 — 第一章 Etcd简介、Etcd单机安装
etcd用户、角色及证书配置
zhangxm_qz的博客
11-17 8541
文章目录访问安全etcd权限分类etcd 访问控制传输安全生成证书配置使用证书 访问安全 在 2.1 版本之前, etcd 是 一个完全开放的系统,任何用户都可以通过 REST API 修改 etcd 存储的数据。 etcd 在 2.1 版本中增加了用户( User )和角色( Role )的概念,引入了用户认证的功能 。 为了保持向后兼容性和可升级性, etcd 的用户权限功能默认是关闭的 。 etcd 支持安全认证以及权限管理。 etcd 的权限管理借鉴了操作系统的权限管理思想,存在 用户和角色(分组
Etcd 配置详解
tangsiqi130的博客
05-04 1811
如果给定IP地址和端口,etcd 将监听在给定端口和接口上。etcd 将从任何列出来的地址和端口上应答请求。如果给定IP地址和端口,etcd 将监听在给定端口和接口上。etcd 端口可以设置为接受 TLS 通讯,non-TLS 通讯,或者同时有 TLS 和 non-TLS 通讯。这将导致循环,因为代理将转发请求给它自己直到它的资源(内存,文件描述符)最终耗尽。列出这个成员的客户端URL,通告给集群中的其他成员。在被重新考虑之前,终端将被视为失败状态的时间(单位 毫秒),用于被代理的请求。
二进制包方式部署k8s集群
qq_50255609的博客
10-17 656
二进制包部署k8s集群
openssl 生成tls证书
08-04
3. 生成证书:使用以下命令生成证书: ``` openssl x509 -req -days 365 -in example.com.csr -signkey example.com.key -out example.com.crt ``` 这样,你就成功生成了一个可信的 TLS 证书。 该证书可以用于为你...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值