kubadm运行逻辑——init-certs证书的生成与创建

最新推荐文章于 2024-04-22 00:31:41 发布
最新推荐文章于 2024-04-22 00:31:41 发布
阅读量529 收藏
点赞数
分类专栏: SRE k8s kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baiyvwuxia/article/details/117280604
版权

前言

认证体系知识繁杂,因此需要较多的基础理论才能明白认证的一个基本逻辑。

1、非对称加密体系:这块是加密解密、认证的基本原理以及知识点。有了这些基本数学基础,才能明白具体为什么非对称加密可以做认证。相关知识点如下所示:

http://www.ruanyifeng.com/blog/2013/06/rsa_algorithm_part_one.html

https://www.ruanyifeng.com/blog/2013/07/rsa_algorithm_part_two.html

2、另外就是需要了解加密认证的基本协议规范。即使有了上面的加密解密理论知识,但是应用到实践当中,还是要有规范以及相关的约定。比如说公钥如何给到相关的机构,相关机构如何二次签发,签发的认证证书如何验证真实性等等。这块涉及到互联网的相关的知识点,用的比较多的是X.509协议,如下:

https://blog.csdn.net/blue0bird/article/details/78656536

3、有了这些协议密码之后,需要一些现成的工具来完成这些信息的生成以及证书的只做。openssl就是一个很好的工具。使用它来完成具体的证书生成操作。

4、生成后具体证书在https中的应用逻辑。其实非对称加密算法只能加解密数字,因此无法直接对较大的文本进行加密传输。所以https就是使用证书进行秘钥的传递,传递之后再用相关秘钥进行数据传输,进而保证传输信息保密。

https://www.runoob.com/w3cnote/https-ssl-intro.html

一、kubernetes需要的证书列表

kubeadm用于生成各个证书的重要代码段,他把各个证书的的生成封装成一个个的对象。然后放到我们subPhases中,上层的逻辑会挨个调用对象中的run函数。

 74 func newCertSubPhases() []workflow.Phase {
 75     subPhases := []workflow.Phase{}
 76
 77     // All subphase
 78     allPhase := workflow.Phase{
 79         Name:           "all",
 80         Short:          "Generate all certificates",
 81         InheritFlags:   getCertPhaseFlags("all"),
 82         RunAllSiblings: true,
 83     }
 84
 85     subPhases = append(subPhases, allPhase)
 86
 87     // This loop assumes that GetDefaultCertList() always returns a list of
 88     // certificate that is preceded by the CAs that sign them.
 89     var lastCACert *certsphase.KubeadmCert
 90     for _, cert := range certsphase.GetDefaultCertList() {
 91         var phase workflow.Phase
 92         if cert.CAName == "" {
 93             phase = newCertSubPhase(cert, runCAPhase(cert))
 94             lastCACert = cert
 95         } else {
 96             phase = newCertSubPhase(cert, runCertPhase(cert, lastCACert))
 97             phase.LocalFlags = localFlags()
 98         }
 99         subPhases = append(subPhases, phase)
100     }
101
102     // SA creates the private/public key pair, which doesn't use x509 at all
103     saPhase := workflow.Phase{
104         Name:         "sa",
105         Short:        "Generate a private key for signing service account tokens along with its public key",
106         Long:         saKeyLongDesc,
107         Run:          runCertsSa,
108         InheritFlags: []string{options.CertificatesDir},
109     }
110
111     subPhases = append(subPhases, saPhase)
112
113     return subPhases
114 }

 具体生成的相关证书逻辑。加上上面的SA。共同组成了kubernetes的所有证书。

208 func GetDefaultCertList() Certificates {
209     return Certificates{
210
最低0.47元/天 解锁文章
需于沙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ansible-role-ssl-certs生成和部署SSL证书
01-31
通过这个角色,我们可以自动化创建证书请求(CSR)、生成证书、并将它们部署到目标服务器,如Nginx等Web服务器。 在使用这个角色之前,我们需要配置相关的变量,如证书域名、证书类型、私钥算法等。例如,如果我们...
k8s- kubernetes证书过期替换之kubeadm命令 certs renew all方式
liuyij3430448的博客
04-27 5752
**k8s集群之间的访问会使用到证书,如果使用kubeadm搭建的集群,默认CA证书的有效期为10年,其他组件访问证书的有效期为1年。如果过期后没有更新证书可能会引起k8s集群的不可用**
kubernetes,ETCD灾备恢复,重新生成证书,重新生成配置文件
qq_22648091的博客
08-08 1754
备份原来的证书帮助信息生成新的证书
使用 kubeadm 进行证书管理
最新发布
yuxingwu9872的博客
04-22 785
使用 kubeadm certs renew 命令 可以随时手动续订证书,该命令使用存储在/etc/kubernetes/pki中的 CA (or front-proxy-CA)证书和密钥来更新证书。c.重启 kube-apiserver、kube-controller-manager、kube-scheduler、etcd 组件后生效。修改kube-controller-manager启动参数(所有master节点修改)重启kube-controller-manager和kubelet。
kubernetes 1.26.1 Etcd部署(外接)保姆级教程
不忘初心,方得始终
02-25 2226
保姆级部署文档
k8s kubeadm高可用集群证书续期
ApexPredator的博客
06-14 2386
k8s kubeadm高可用集群证书续期
kubernetes_23_kubeadm方式部署证书管理
10-07 490
kubeadm方式部署证书管理
signed-fix-certs-overtime-1.0.3.1-1-all.deb
09-04
signed_fix-certs-overtime_1.0.3.1-1_all.deb uos 不能上网的,安装此包后,可以安装没有签名的软件。 直接安装此包即可。 支持所有cpu ARM,兆芯,龙芯,intel,AMD全支持。
traefik-certs-dumper:转储让我们加密Traefik存储在acme.json中的指定域的证书
03-22
traefik-certs-dumper 让我们将指定域的证书加密为Traefik存储在acme.json .pem和.key文件。 该图像使用: 来自的bash脚本 特别感谢他们! 重要提示:应该可以在Traefik v2或更高版本上使用!如果要将此证书转储程序...
certs-maker:通过配置生成自托管的dev证书
05-23
证书制作者通过配置生成自托管的/ dev证书。支持变量您可以通过声明docker的环境变量来自定义生成证书。 国家/地区名称: CERT_C 例如: CERT_C=CN 州或省名称: CERT_ST 例如: CERT_ST=BJ 地区名称: CERT_L ...
ATAK-Certs:用于为FTS创建和打包证书的工具
04-19
-a --automated :以无头模式运行脚本,以自动生成用于全新安装的ca,服务器和用户证书 -c --copy :与-a结合使用,可以将所需的服务器证书复制到FTS的默认位置,如果使用的话,请跳过如何 -i --ip :客户机将在其上...
kubernetes集群更新证书(kubeadm方式)
rendongxingzhe的博客
04-24 3829
一.kubernets证书详情 1.查看证书 tree /etc/kubernetes/pki/ 正在上传…重新上传取消 2.各个证书过期时间 /etc/kubernetes/pki/apiserver.crt #1年有效期 /etc/kubernetes/pki/front-proxy-ca.crt #10年有效期 /etc/kubernetes/pki/ca.crt #10年有效期 /etc
kubeadm更新证书(1.23.4版本)
运维那些事儿
04-14 3597
1、查看证书到期时间 kubeadm certs check-expiration 1.1、输出如下内容 [root@master pki]# kubeadm certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get c
kubernetes证书时限解决方案
weixin_45692576的博客
06-29 1219
kubernetes证书问题kubernetes集群默认证书期限为一年,针对此问题列出下列三种情况及解决办法一、当正在使用的kubernetes集群证书过期时,此解决办法续期为1年 二、当正在使用的kubernetes集群证书过期时,此解决办法续期可以自定义 三、使用kubekey进行证书更新,此方式可配合第二种方式,先自行编译kubeadm,在进行更新......
kubeadm管理证书之续签证书
weixin_42562106的博客
06-29 3012
可用于检查证书过期时间: kubeadm alpha certs check-expiration kubeadm alpha certs 命令详解: Available Commands: certificate-key 生成证书和key check-expiration 检测证书过期时间 renew 续订Kubernetes集群的证书 kubeadm alpha certs命令仅支持v1.15及其以上的版本。 手动续订apiserver的证书-apiser
kubernetes(1.23)证书过期如何续期
老段工作室
04-27 2571
通过kubeadm安装的kubernetes集群各个组件所使用证书的期限为1年,本实验练习的是到期之后如何续期。
K8S 证书过期后,kubeadm 重新生成证书
zhangchang3的博客
07-20 874
k8s证书更新
kubeadm 部署k8s v1.21版本集群证书更新
topxia
11-01 333
针对 kubeadm部署的kubernetes,通过重新编译kubeadm将证书有效期改为99年。实际工作建议改为10年以下,因为ca时效是10年,下面可见。确认当前 kubeadm 版本和 go 的版本。kubeadm安装默认证书只有一年时间。
kubeadm init --config /root/new.yaml --upload-certs
05-18
2. 创建证书和密钥,用于加密通信; 3. 部署 etcd 集群,用于存储 Kubernetes 集群的状态信息; 4. 部署 Kubernetes 控制平面组件,包括 kube-apiserver、kube-controller-manager 和 kube-scheduler; 5. 部署网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值