k8s部署-1.自签TLS证书

最新推荐文章于 2024-07-08 17:19:49 发布
最新推荐文章于 2024-07-08 17:19:49 发布
阅读量374 收藏
点赞数
分类专栏: k8s部署
原文链接:https://www.cnblogs.com/jasonboren/p/11483458.html
版权
组件使用的证书
etcdca.pem,server.pem,server-key.pem
kube-apiserverca.pem,server.pem,server-key.pem
kubeletca.pem,ca-key.pem
kube-proxyca.pem,kube-proxy.pem,kube-proxy-key.pem
kubectlca.pem,admin.pem,admin-key.pem

一、安装证书生成工具cfssl

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64

wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64

wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64

chmod +x cfssl_linux-amd64  cfssljson_linux-amd64  cfssl-certinfo_linux-amd64

mv  cfssl_linux-amd64 /usr/local/bin/cfssl

mv  cfssljson_linux-amd64  /usr/local/bin/cfssljson

mv  cfssl-certinfo_linux-amd64  /usr/local/bin/cfssl-certinfo

二、生成ca证书

创建ssl目录

mkdir -p /tools/ssl
cd /tools/ssl

创建ca-csr.json文件

{
    "CN": "kubernetes",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Shanghai",
            "ST": "Shanghai",
            "O": "k8s",
            "OU": "System"
        }
    ]
}

执行生成ca-csr ssl文件命令

cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

三、生成server证书

要先创建ca-config.json文件

{
    "signing": {
        "default": {
            "expiry": "87600h"
        },
        "profiles": {
            "kubernetes": {
                "expiry": "87600h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth",
                    "client auth"
                ]
            }
        }
    }
}

创建server-csr.json文件

{
    "CN": "kubernetes",
    "hosts": [
      "127.0.0.1",
      "192.168.112.134",
      "192.168.112.135",
      "192.168.112.136",
      "kubernetes.default",
      "kubernetes.default.svc",
      "kubernetes.default.svc.cluster",
      "kubernetes.default.svc.cluster.local"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Shanghai",
            "ST": "Shanghai",
            "O": "k8s",
            "OU": "System"
        }
    ]
}

执行生成server-csr ssl文件命令

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes server-csr.json | cfssljson -bare server

四、生成admin证书

先创建ca-config.json文件

再创建admin-csr.json文件

{
    "CN": "admin",
    "hosts": [],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Shanghai",
            "ST": "Shanghai",
            "O": "system:masters",
            "OU": "System"
        }
    ]
}

执行生成admin-csr ssl文件命令

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin

五、生成kube-proxy证书

先创建ca-config.json文件

再创建kube-proxy-csr.json文件

{
    "CN": "system:kube-proxy",
    "hosts": [],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Shanghai",
            "ST": "Shanghai",
            "O": "k8s",
            "OU": "System"
        }
    ]
}

执行生成kube-proxy-csr ssl文件命令

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy
小小的夜
关注
专栏目录
K8s--集群的设置-配置TLS
weixin_45081220的博客
05-25 626
TLS 传输层加密 前身是SSl tls/ssl 只有A去验证B的证书的合法性 单向TLS 双向验证证书合法性 双向TLS 就是mTLS https=http+tls/ssl 对称加密 加密和解密使用同一个密钥–密码 优点:加密大数据比较快 缺点:密钥不方便传输 常见:AES, DES 加密长度越长越安全 非对称加密 公钥、私钥 数据加密模式:公钥加密,私钥解密 数字签名模式:私钥加密,公钥解密 哈希函数 md5 sha1 sha512 k8s使用的就是mTLS进行通信 访问某个po
K8S集群tls证书管理
weixin_33905756的博客
08-31 628
在前文介绍的k8s master高可用实践方案中,需要对kube-apiserver的证书进行更新,加入VIP和从节点的IP,然后重新下发证书。回顾K8S集群整个搭建过程中,最容易让人懵圈的也就是配置证书环节,因此本文对K8S集群所用到的证书进行梳理一下。 一、根证书 ca.pem 根证书公钥文件ca-key.pem 根证书私钥文件ca.csr 证书签名请求...
k8s使用cert-manager生成自签证书
最新发布
mengting2040的博客
07-08 322
k8s使用cert-manager生成自签证书
k8s自签TLS证书
weixin_30674525的博客
09-07 297
自签TLS证书 TLS证书用于进行通信使用k8s组件需要的证书有: 第一步:安装证书生成工具cfssl 在这之前需要先建立一个目录来存放安装的工具mkdir ssl,后面将安装的工具移动到各自的目录。方便管理 wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfsslj...
Kubernetes部署GitLab
weixin_33795743的博客
08-27 1269
1.下载相应文件#mkdirgitlab&&cdgitlab #vimurl.txt https://raw.githubusercontent.com/zhijiansd/ansible-k8s/master/addons/gitlab/gitlab-ns.yaml https://raw.githubusercont...
k8s创建证书tls证书
july_young的博客
09-30 758
#创建证书 #openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout fortune-teller.key -out fortune-teller.pem -subj "/CN=*.serving.dubhe.ai/O=*.serving.dubhe.ai" #创建Secret #kubectl create secret tls fortune-teller.stack.build --cert fortune-teller.pem --k
k8s-1.12.3.rar
05-03
标题 "k8s-1.12.3.rar" 暗示了这是一个与 Kubernetes(简称 k8s)相关的资源包,特别指出是版本 1.12.3。Kubernetes 是一个开源容器编排系统,用于自动化部署、扩展和管理容器化应用程序。在这个版本中,它可能包含...
k8s-lnmp.rar
03-16
在IT行业中,Kubernetes(简称k8s)已经成为容器编排和管理的首选平台,它为企业和开发者提供了高效、可扩展的容器化应用部署及管理能力。本压缩包"K8s-LNMP.rar"是为配合《kubernetes容器集群管理》教程而准备的...
国内可下载kube-flannel.yml与自签证书程序文件
11-08
Kubernetes(简称k8s)环境中,网络通信是核心组成部分之一,而kube-flannel.yml文件则扮演着关键角色。这个文件是用来配置Flannel网络插件的,它为集群内的Pod提供跨节点的网络通信能力。Flannel是Kubernetes推荐...
K8S】二进制部署之定义CA证书与ETCD
y1701的博客
11-01 365
K8S】二进制部署之定义CA证书与ETCD
【实战加详解】二进制部署k8s高可用集群教程系列十六 - 部署kubelet-TLS Bootstrap证书方式
JohnYang's CSDN Home
10-13 771
实战加详解 - 完美解决二进制部署k8s高可用集群中ssl证书以及TLS Bootstrap机制的问题
k8s ingress-nginx 配置tls证书 https
qq_33256826的博客
01-26 761
之前一直在内网环境做项目,由于和外网隔离一直用的是 http 协议, 新项目要求用 https 协议,项目服务都部署k8s 中,使用 ingress-nginx 作为网关。从网上查找相关资料都是需要在 ingress 中配置 tls ,但是由于我创建的 ingress 比较多,且没有指定域名,一个一个去修改非常麻烦,而且开发人员在内网习惯使用 ip 来访问系统,一旦配置了域名,还需要开发人员去修改本地的 hosts 文件,所以我到 ingress-nginx 官网找到了解决办法。
k8s自签证书
qq_42502583的博客
03-29 2483
k8s自签证书 通过使用cert-manager来管理证书 cert-manager将确保证书有效并且是最新的,并在到期前尝试在配置的时间续订证书 part1.安装CustomResourceDefinitions和cert-manager本身: ╭─[18:04:19] yup@YP-7-15 ~ ╰─$ kubectl apply -f https://github.com/jetstack/cert-manager/releases/download/v1.2.0/cert-manager.yaml
K8S---kubelet TLS 启动引导
qq_41768644的博客
09-03 292
使用启动引导令牌启动完成的kubelet节点,其身份被认证(authenticated)为system:bootstrappers组的成员,该成员在默认情况,并没有创建CSR的以及其他相关权限,所以该成员需要被授权创建证书签名请求(CSR)并在证书签名之后将其取回。当该节点第一次申请证书,在没有获取证书使用证书访问之前,该节点的用户身份是bootstrap-token-,所属于组system:bootstrappers的成员;上述TLS 启动引导,只针对kubelet客户端证书,并不适合服务器端证书
k8s TLS bootstrap解析-k8s TLS bootstrap流程分析
良凯尔的博客
04-04 2312
k8s TLS bootstrap功能就是让kubelet先使用一个预先商定好的低权限的bootstrap token连接到kube-apiserver,向kube-apiserver申请证书,然后kube-controller-manager给kubelet动态签署证书,后续kubelet都将通过动态签署的证书kube-apiserver通信。
k8s安全测评漏洞:SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
Yang_RR的博客
05-09 1352
k8s组件使用了IDEA、DES和3DES等算法,修改配置文件禁用上述算法即可。
【博客494】k8s TLS Bootstrap机制
qq_43684922的博客
09-12 1096
流程图:场景:当集群开启了 TLS 认证后,每个节点的 kubelet 组件都要使用由 apiserver 使用的 CA 签发的有效证书才能与 apiserver 通讯;此时如果节点多起来,为每个节点单独签署证书将是一件非常繁琐的事情;TLS bootstrapping 功能就是让 kubelet 先使用一个预定的低权限用户连接到 apiserver,然后向 apiserver 申请证书kubelet 的证书由 apiserver 动态签署。
Kubernetes应用中使用TLS/SSL证书的两种方法及实践 详细整理版
且炼时光
08-27 7205
k8s应用注入自签发的TLS/SSL证书有两种思路:1.使用certificates.k8s.io API 进行签发。2. 自己生成CA证书进行签发,将所需的证书及公密钥打包进secret。本文将对这两种方法进行比较并动手实践。 文章目录零 获取自签发CA根证书1. 准备好openssl工具2. 创建 CA证书签名申请 配置文件(ca-csr-config.json)3. 生成 CA密钥及证书一 certificates.k8s.io API签发1 配置kubernetes使用自定义的CA根证书使用
k8s学习-CKS真题-TLS安全配置
关注网络安全、云原生安全
05-17 1232
如果出现:Failed to restart etcd.service: Unit etcd.service not found.,可以查找kube-system下的etcd,例如。
k8s自动化安装脚本(kubeadm-1.26.3)
09-03
k8s自动化安装脚本(kubeadm-1.26.3)是用于自动化部署和配置Kubernetes集群的工具。它提供了一种简单快速的方式来安装和设置Kubernetes的各个组件,包括kubelet、kube-proxy、kube-controller-manager和kube-...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值