K8S部署步骤:2-创建ca证书与秘钥

最新推荐文章于 2024-05-30 16:58:08 发布
最新推荐文章于 2024-05-30 16:58:08 发布
阅读量4k 收藏 4
点赞数 1
分类专栏: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bingzhilingyi/article/details/81698704
版权

kubernetes系统各组件需要使用TLS(SSL)证书对通信进行加密,本文档使用CloudFlare的PKI工具集cfssl 来生成Certificate Authority (CA) 证书和秘钥文件,CA是自签名的证书,用来签名后续创建的其它TLS证书。

在所有节点安装cfssl

$ wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
$ chmod +x cfssl_linux-amd64
$ sudo mv cfssl_linux-amd64 /root/local/bin/cfssl

$ wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
$ chmod +x cfssljson_linux-amd64
$ sudo mv cfssljson_linux-amd64 /root/local/bin/cfssljson

$ wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
$ chmod +x cfssl-certinfo_linux-amd64
$ sudo mv cfssl-certinfo_linux-amd64 /root/local/bin/cfssl-certinfo

创建 CA (Certificate Authority)

创建ca配置文件:

$ cat > ca-config.json << EOF
{
  "signing": {
    "default": {
      "expiry": "8760h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "8760h"
      }
    }
  }
}
EOF

$ ll ca-config.json
# -rw-r--r--. 1 root root 290 Oct 24 17:51 ca-config.json
  • ca-config.json:可以定义多个profiles,分别指定不同的过期时间、使用场景等参数;后续在签名证书时使用某个profile;
  • signing:表示该证书可用于签名其它证书;生成的ca.pem证书中CA=TRUE;
  • server auth:表示client可以用该CA对server提供的证书进行验证;
  • client auth:表示server可以用该CA对client提供的证书进行验证;

创建CA证书签名请求:

$ cat > ca-csr.json << EOF
{
  "CN": "kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}
EOF

$ ll ca-csr.json
# -rw-r--r--. 1 root root 208 Oct 24 17:55 ca-csr.json
  • CN-Common Name:kube-apiserver从证书中提取该字段作为请求的用户名 (User Name);浏览器使用该字段验证网站是否合法;
  • O-Organization:kube-apiserver从证书中提取该字段作为请求用户所属的组 (Group);

生成CA证书和私钥:

$ cfssl gencert -initca ca-csr.json | cfssljson -bare ca
$ ls ca*
# ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem

校验证书

使用openssl命令

$ openssl x509 -noout -text -in ca.pem
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            1d:26:0f:c5:69:c0:87:0b:1c:36:e4:37:0b:f2:ce:38:55:f0:3a:db
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=kubernetes
        Validity
            Not Before: Oct 18 01:38:00 2017 GMT
            Not After : Oct 17 01:38:00 2022 GMT
        Subject: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=kubernetes
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus
最低0.47元/天 解锁文章
bingzhilingyi
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
K8S 创建 CA证书秘钥
weixin_44772835的博客
01-18 289
K8S 创建 CA证书秘钥
七、k8s ingress (http/https)部署与使用
热门推荐
机器重启员的博客
12-26 1万+
简单来讲,就是一个利用负载均衡的玩意,其主要用来解决使用NodePort暴露Service的端口时Node IP会漂移的问题。同时,若大量使用NodePort暴露主机端口,管理会非常混乱。 好的解决方案就是让外界通过域名去访问Service,而无需关心其Node IP及Port。那为什么不直接使用Nginx?这是因为在K8S集群中,如果每加入一个服务,我们都在Nginx中添加一个配置,其实是一...
【二进制部署k8s-1.29.4】二、证书及配置文件启动脚步的准备
最新发布
weixin_56364253的博客
05-30 1257
本章节主要准备二进制安装k8s的过程中所使用到的证书配置文件,怎样生成证书,以及etcd、master端组件、worker端组件所用到的配置文件和启动脚本,同时利用脚本生成证书、和生成kubecofig配置文件。
k8s 证书ca-csr.json,ca-config.json
weixin_30375427的博客
05-22 3647
这是后面生成的所有证书的基础。 但如果是公司内使用,使用基于这些证书生成的ca, 在保证安全性的情况下,可以更方便的部署ca-csr.json { "CN": "kubernetes", "key": { "algo": "rsa", "size": 2048 }, "ca": { "expiry": "438000h" ...
cfssl创建ca证书,调整ca证书的有效期
zyj_csdn的博客
12-07 1941
1. 使用cfssl创建ca证书 1.1 生成ca证书证书请求文件:ca-csr.json cfssl print-defaults csr > ca-csr.json 结果: cat ca-csr.json { "CN": "example.net", "hosts": [ "example.net", "www.example.net" ], "key": { "algo": "ecdsa", "s
服务端统一生成证书,下发到各类部署节点
国产-达芬奇
12-31 696
assk-server服务端统一生成证书,下发到各类部署节点(Master Node、System Node、Etcd Node、Node) 0 思路 assk-service将cfssl证书生成工具,和证书生成的配置文件集成到镜像中,部署Master Node时首先判断证书文件是否存在,存在则校验证书、不存在则通过命令生成证书文件,并保存到kube_certificate;生成token保存到kube_master assk-server服务docker目录下新增两个文件夹 1.配置文件准备,ca目录下
k8s-rdma-sriov-dev-plugin:Kubernetes Rdma SRIOV 设备插件
05-31
创建每个节点的sriov配置编辑 example/sriov/rdma-sriov-node-config.yaml 以描述 sriov PF netdevice(s)。 在此示例中,它是eth0和eth1。 注意: (a) 不要添加任何 VF。 (b) 不要手动启用 SRIOV。 该插件为给定的
k8s-ansible:Ansible Playbook创建HA kubernetes集群
04-29
它主要是为在带有calico CNI的ubuntu 16.04+上的裸机部署创建的,除kube-dns之外未安装任何集群插件,除docker之外均未支持任何容器运行时(也许稍后会支持CRI-O)。 组件版本和其他一些设置可以在variables/k8s-...
k8s-fordocker-desktop-v1.29.1
03-01
2. **k8sDesktop**:这是一个关键词,表示该软件包与Kubernetes(k8s)桌面版本有关,可能包含专门针对桌面环境的配置和优化。 3. **k8s**:即Kubernetes,是一种开源的容器编排系统,用于自动化容器化应用程序的...
K8S集群证书监控ssl-exporter监控模板
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
k8s组件: kubelet-1.23.0、kubeadm-1.23.0、kubectl-1.23.0
11-09
Kubernetes(简称K8s)是目前最流行的容器编排系统,用于自动化容器化的应用程序部署、扩展和管理。在这个场景中,我们关注的是Kubernetes的核心组件:kubelet、kubeadm和kubectl,它们都是K8s集群的重要组成部分。 ...
安装cfssl证书生成工具
CodeStar`
02-20 662
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 chmod +x cfssl_linux-amd64 cfsslj...
cfssl安装及使用
qq_20779397的博客
04-13 427
安装方式有很多中,可以通过wget、curl等指令安装,由于本人虚拟机网速及CA认证问题,选择在虚拟机外下载,然后上传操作。cfssl是本地生成CA证书的一种重要方式,另外一种openssl,是搭建k8s集群中不可缺少的一步。下载后将应用上传到系统/usr/local/bin/目录下,并。现在之前需要确认待安装的系统的信息,使用uname -m查看。2、返回i686、i386等,下载适配32bit的应用。下载地址:https://pkg.cfssl.org。1、返回x86-64,下载适配64bit的应用。
kubernetes实践之六:CFSSL构建本地CA
clmaykr95629的博客
03-21 216
一:前言 SSL:Secure Sockets Layer,标准化后叫"TLS",http协议默认情况下是不加密内容的,这样就很可能在内容传播的时候被别人监听到,对于安全性要求较高的场合,必须要加密,https就是带加密...
CA认证原理及CFSSL证书生成工具的使用
dihunman8809的博客
08-01 2696
  kubernetesV1.8版本后建议开启TLS双向认证及RBAC授权管理,以加强集群的安全管理。界内流行的开启TLS方法为基于一个“公钥基础设施(public key infrastructure,缩写为 PKI)”,使用了内部托管的认证中心(CA),常见PKI工具有CFSSL,OPENSSL等,下面详细介绍kubernetes使用CFSSL工具创建CA并开启TLS认证。 一、H...
Could not find or access '/etc/ansible/bin/cfssljson /etc/ansible/bin/cfssl
隔壁老瓦的专栏
01-02 8639
An exception occurred during task execution. To see the full traceback, use -vvv. The error was: If you are using a module and expect the file to exist on the remote, see the remote_src option failed...
Kubernetes安装系列之证书创建
知行合一 止于至善
03-23 2277
这篇文章整理以下证书创建方法,本文以脚本的方式进行固化,内容仍然放在github的easypack上。
k8s部署之使用CFSSL创建证书
工作中的点点滴滴
05-12 1万+
安装CFSSL curl -s -L -o /bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 curl -s -L -o /bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 curl -s -L -o /bin/cfssl-certinfo https:/...
使用cfssl生成自签证书
DXZCZH的博客
01-13 6242
tls即安全传输层协议,一般用于在两个通信应用程序之间提供保密性和数据完整性,由于在工作项目中系统内部需要安全认证,google一下发现了一个好用的自签证书的开源工具cfssl。cfssl是由CoreOS提供的(用GO实现,直接使用go get就可以安装),简单安全。 cfssl用来为etcd提供tls证书,因此它支持签三种类型的证书:client证书、server证书以及peer证书(即etcd...
K8s集群部署:etcd安装与证书创建
"该资源是关于在Linux环境中部署Kubernetes(K8S)集群的教程,特别关注了etcd的安装和证书配置。" 在Kubernetes集群中,etcd是一个关键组件,它是一个分布式的、一致性的键值存储系统,用于保存整个集群的状态信息。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值