k8s部署-1.自签TLS证书

最新推荐文章于 2024-05-30 17:35:33 发布
最新推荐文章于 2024-05-30 17:35:33 发布
阅读量367 收藏
点赞数
分类专栏: k8s部署
原文链接:https://www.cnblogs.com/jasonboren/p/11483458.html
版权
组件使用的证书
etcdca.pem,server.pem,server-key.pem
kube-apiserverca.pem,server.pem,server-key.pem
kubeletca.pem,ca-key.pem
kube-proxyca.pem,kube-proxy.pem,kube-proxy-key.pem
kubectlca.pem,admin.pem,admin-key.pem

一、安装证书生成工具cfssl

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64

wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64

wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64

chmod +x cfssl_linux-amd64  cfssljson_linux-amd64  cfssl-certinfo_linux-amd64

mv  cfssl_linux-amd64 /usr/local/bin/cfssl

mv  cfssljson_linux-amd64  /usr/local/bin/cfssljson

mv  cfssl-certinfo_linux-amd64  /usr/local/bin/cfssl-certinfo

二、生成ca证书

创建ssl目录

mkdir -p /tools/ssl
cd /tools/ssl

创建ca-csr.json文件

{
    "CN": "kubernetes",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Shanghai",
            "ST": "Shanghai",
            "O": "k8s",
            "OU": "System"
        }
    ]
}

执行生成ca-csr ssl文件命令

cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

三、生成server证书

要先创建ca-config.json文件

{
    "signing": {
        "default": {
            "expiry": "87600h"
        },
        "profiles": {
            "kubernetes": {
                "expiry": "87600h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth",
                    "client auth"
                ]
            }
        }
    }
}

创建server-csr.json文件

{
    "CN": "kubernetes",
    "hosts": [
      "127.0.0.1",
      "192.168.112.134",
      "192.168.112.135",
      "192.168.112.136",
      "kubernetes.default",
      "kubernetes.default.svc",
      "kubernetes.default.svc.cluster",
      "kubernetes.default.svc.cluster.local"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Shanghai",
            "ST": "Shanghai",
            "O": "k8s",
            "OU": "System"
        }
    ]
}

执行生成server-csr ssl文件命令

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes server-csr.json | cfssljson -bare server

四、生成admin证书

先创建ca-config.json文件

再创建admin-csr.json文件

{
    "CN": "admin",
    "hosts": [],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Shanghai",
            "ST": "Shanghai",
            "O": "system:masters",
            "OU": "System"
        }
    ]
}

执行生成admin-csr ssl文件命令

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin

五、生成kube-proxy证书

先创建ca-config.json文件

再创建kube-proxy-csr.json文件

{
    "CN": "system:kube-proxy",
    "hosts": [],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Shanghai",
            "ST": "Shanghai",
            "O": "k8s",
            "OU": "System"
        }
    ]
}

执行生成kube-proxy-csr ssl文件命令

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy
小小的夜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
k8s-lnmp.rar
03-16
在IT行业中,Kubernetes(简称k8s)已经成为容器编排和管理的首选平台,它为企业和开发者提供了高效、可扩展的容器化应用部署及管理能力。本压缩包"K8s-LNMP.rar"是为配合《kubernetes容器集群管理》教程而准备的...
k8s-1.12.3.rar
05-03
标题 "k8s-1.12.3.rar" 暗示了这是一个与 Kubernetes(简称 k8s)相关的资源包,特别指出是版本 1.12.3。Kubernetes 是一个开源容器编排系统,用于自动化部署、扩展和管理容器化应用程序。在这个版本中,它可能包含...
【二进制部署k8s-1.29.4】二、证书及配置文件启动脚步的准备
weixin_56364253的博客
05-30 1249
本章节主要准备二进制安装k8s的过程中所使用到的证书配置文件,怎样生成证书,以及etcd、master端组件、worker端组件所用到的配置文件和启动脚本,同时利用脚本生成证书、和生成kubecofig配置文件。
k8s安全测评漏洞:SSL-TLS协议信息泄露漏洞(CVE-2016-2183)
dzqxwzoe的博客
05-30 2008
扫描结果重点关注warnings,64-bit block cipher 3DES vulnerable to SWEET32。k8s组件使用了IDEA、DES和3DES等算法,修改配置文件禁用上述算法即可。增加后kube-apiserver漏洞即修复成功。attack,漏洞修复成功则没有该项提示。可以看到没有了warnings这项了。可以看到没有了warnings这项了。可以看到没有了warnings这项了。可以看到没有了warnings这项了。增加后etcd漏洞即修复成功。只需要修复最后一项即可。
K8S单机部署-11.安装Kubernetes Metrics Server监控
Felix的小黑板
03-22 580
安装Kubernetes Metrics Server监控
kubeadm + containerd 部署 k8s-v1.23.3(含证书升级)
以梦为马|越骑越傻
02-17 4534
文章目录前言环境准备答应我,所有节点都要关闭防火墙答应我,所有节点都要关闭selinux答应我,所有节点都要关闭swap答应我,所有节点都要开启内核模块答应我,所有节点都要开启模块自动加载服务答应我,所有节点都要做内核优化答应我,所有节点都要清空 iptables 规则安装 containerd配置 kubernetes 源安装 kubeadm 以及 kubelet配置命令参数自动补全功能启动 kubelet 服务kubeadm 部署 master 节点安装 flannel 组件work 节点加入集群mas
k8s-1.26.6 二进制部署
小五
08-03 793
公有云要用公有云自带的负载均衡,比如阿里云的SLB,腾讯云的ELB,用来替代haproxy和keepalived,因为公有云大部分都是不支持keepalived的,另外如果用阿里云的话,kubectl控制端不能放在master节点,推荐使用腾讯云,因为阿里云的slb有回环的问题,也就是slb代理的服务器不能反向访问SLB,但是腾讯云修复了这个问题。下载地址:https://github.com/kubernetes-sigs/cri-tools/blob/master/docs/crictl.md。
【二进制部署k8s-1.29.4】五、kube-controller-manager安装配置
weixin_56364253的博客
05-30 667
本章节主要讲解安kube-controller-manager,安装kube-controller-manager主要是将证书、配置文件拷贝到对应的目录,配置启动脚本,然后kube-controller-manager可执行文件拷贝到bin目录然后进行启动。
k8s-1.22.15部署ingress介绍、安装
jialiu111111的博客
03-22 1893
1.介绍在前面文章中已经提到,Service对集群之外暴露服务的主要方式有两种:NotePort和LoadBalancer,但是这两种方式,都有一定的缺点:NodePort方式的缺点是会占用很多集群机器的端口,那么当集群服务变多的时候,这个缺点就愈发明显LB方式的缺点是每个service需要一个LB,浪费、麻烦,并且需要kubernetes之外设备的支持。
k8s-1.23.6高可用部署
liao__ran的博客
05-11 2445
系统版本 [root@k8s-master1 k8s]# cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core) docker版本 [root@k8s-master1 ~]# docker -v Docker version 20.10.15, build fd82621 k8s版本 [root@k8s-master1 ~]# kubelet --version Kubernetes v1.23.6 [root@k8s-mas.
k8s-v1.25.4+containerd部署
jiayu的博客
11-19 3897
​ CA机构三套:apiserver一套,etcd一套,api聚合层一套(由于和apiserver共用一套CA会发生冲突这里单独使用一个CA),颁发机构分别为:ca-apiserver,ca-etcd,front-proxy-ca。Github yaml部署链接:https://github.com/flannel-io/flannel/blob/master/Documentation/kube-flannel.yml。注:token.csv后边用于给kubelet自动颁发证书使用的。
k8s部署cert-manager实现证书自动化
weixin_44692256的博客
08-28 3777
cert-manager 是一个云原生证书管理开源项目,用于在 Kubernetes 集群中提供 HTTPS 证书并自动续期,支持 Let’s Encrypt, HashiCorp Vault 这些免费证书的签发。在Kubernetes集群中,我们可以通过 Kubernetes Ingress 和 Let’s Encrypt 实现外部服务的自动化 HTTPS。 前言 在Kubernetes集群中使用HTTPS协议,需要一个证书管理器、一个证书自动签发服务,主要通过Ingress来发布HTTPS服务,因此需要
国内可下载kube-flannel.yml与自签证书程序文件
11-08
Kubernetes(简称k8s)环境中,网络通信是核心组成部分之一,而kube-flannel.yml文件则扮演着关键角色。这个文件是用来配置Flannel网络插件的,它为集群内的Pod提供跨节点的网络通信能力。Flannel是Kubernetes推荐...
CentOS7安装k8s-v1.14.1.docx
11-08
1. **环境规划**:我们有三个 Master 节点(k8s-master1、k8s-master2、k8s-master3)和两个 Worker 节点(k8s-worker1、k8s-worker2)。Master 节点将运行高可用性 (HA) 的 etcd 集群、kube-apiserver、kube-...
正式环境K8S集群部署文档.docx
07-19
Kubernetes(K8S)集群部署详解:使用kubeadm】 Kubernetes(简称K8S)是一个开源的容器编排系统,它允许用户管理和部署容器化的应用。本篇文档将详细阐述如何使用kubeadm工具在正式环境中搭建K8S集群。kubeadm是...
大学生挑战杯-喜树根器官培养和抗癌物质喜树碱生成的研究.rar
07-26
大学生挑战杯-喜树根器官培养和抗癌物质喜树碱生成的研究.rar
b278视频及游戏管理平台-springboot+vue.zip(可运行源码+sql文件+)
07-26
视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。
大模型应用-为Ollma开发的简单的HTML网页UI应用-附项目源码-优质项目实战.zip
最新发布
07-26
大模型应用_为Ollma开发的简单的HTML网页UI应用_附项目源码_优质项目实战
k8s自动化安装脚本(kubeadm-1.26.3)
09-03
k8s自动化安装脚本(kubeadm-1.26.3)是用于自动化部署和配置Kubernetes集群的工具。它提供了一种简单快速的方式来安装和设置Kubernetes的各个组件,包括kubelet、kube-proxy、kube-controller-manager和kube-scheduler等。 使用kubeadm-1.26.3脚本可以实现以下功能: 1. 初始化Master节点:通过执行`kubeadm init`命令,kubeadm-1.26.3将自动初始化Master节点,并生成用于其他节点加入集群的令牌。 2. 加入Worker节点:通过执行`kubeadm join`命令,kubeadm-1.26.3可以将Worker节点快速地加入到Kubernetes集群中。 3. 网络配置:kubeadm-1.26.3支持多种网络插件,如Flannel、Calico等。可以通过参数设置选择合适的网络插件,并自动配置网络。 4. TLS证书管理:kubeadm-1.26.3自动生成并分发TLS证书,用于安全地通信和认证集群中的各个组件。 5. 容器运行时配置:kubeadm-1.26.3可以根据配置自动安装和配置Docker或者其他容器运行时,确保集群中的容器能够正常运行。 6. 控制平面组件部署kubeadm-1.26.3负责自动部署和配置kube-controller-manager、kube-scheduler等控制平面组件,确保集群正常运行。 7. 扩展功能:kubeadm-1.26.3还支持其他功能,如升级Kubernetes版本、附加额外的Pod网络等。 总的来说,kubeadm-1.26.3提供了一种简单灵活的方式来自动化部署和配置Kubernetes集群。它大大简化了Kubernetes的安装和配置过程,使得用户可以更专注于应用的开发和部署
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值