centos安装kubernetes1.12二进制文件安装添加证书配置

最新推荐文章于 2019-08-14 16:03:50 发布
最新推荐文章于 2019-08-14 16:03:50 发布
阅读量314 收藏
点赞数
分类专栏: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ciqingloveless/article/details/82417861
版权

kubernetes基础安装请看以下文档
https://blog.csdn.net/ciqingloveless/article/details/82348490
其中证书配置部分可以查看
https://blog.csdn.net/ciqingloveless/article/details/81741988
#一 证书配置
##1 配置Kubernetes CNI(所以节点)

export CNI_URL=https://github.com/containernetworking/plugins/releases/download
mkdir -p /opt/cni/bin && cd /opt/cni/bin
wget "${CNI_URL}/v0.7.1/cni-plugins-amd64-v0.7.1.tgz" | tar –zx
tar -xvf cni-plugins-amd64-v0.7.1.tgz

##2 安装CFSSL

export CFSSL_URL=https://pkg.cfssl.org/R1.2
wget ${CFSSL_URL}/cfssl_linux-amd64 -O /usr/local/bin/cfssl
wget ${CFSSL_URL}/cfssljson_linux-amd64 -O /usr/local/bin/cfssljson
wget ${CFSSL_URL}/cfssl-certinfo_linux-amd64 -O /usr/local/bin/cfssl-certinfo
chmod +x /usr/local/bin/cfssl /usr/local/bin/cfssljson /usr/local/bin/cfssl-certinfo

##3建立CA与产生TLS凭证
###3.1 在master1中获取部署文件
在一台master执行就可以,后面会将生成文件复制到所有master

yum -y install git
git clone https://github.com/kairen/k8s-manual-files.git ~/k8s-manual-files
cd ~/k8s-manual-files/pki

###3.2 ETCD
在k8s-m1建立/etc/etcd/ssl文件夹,并产生 Etcd CA:

export DIR=/etc/etcd/ssl
mkdir -p ${DIR}
cfssl gencert -initca etcd-ca-csr.json | cfssljson -bare ${DIR}/etcd-ca

产生Etcd凭证:

cfssl gencert \
  -ca=${DIR}/etcd-ca.pem \
  -ca-key=${DIR}/etcd-ca-key.pem \
  -config=ca-config.json \
  -hostname=127.0.0.1,192.168.200.221 \
  -profile=kubernetes \
  etcd-csr.json | cfssljson -bare ${DIR}/etcd

注:
1、-hostname=127.0.0.1,192.168.200.221有几个etcd写几个,本文只有一个
删除不必要的文件,检查并/etc/etcd/ssl目录是否成功建立以下文件:

$ rm -rf ${DIR}/*.csr
$ ls /etc/etcd/ssl
etcd-ca-key.pem  etcd-ca.pem  etcd-key.pem  etcd.pem

复制文件至其他Etcd节点,这边为所有master节点:

scp -r /etc/etcd 192.168.200.222:/etc/

注:
1、本文只有一个etcd不需要执行复制指令,这里就是描述
###3.3 Kubernetes组件

export K8S_DIR=/etc/kubernetes
export PKI_DIR=${K8S_DIR}/pki
export KUBE_APISERVER=https://192.168.200.221:6443
mkdir -p ${PKI_DIR}
cfssl gencert -initca ca-csr.json | cfssljson -bare ${PKI_DIR}/ca
ls ${PKI_DIR}/ca*.pem

注:
1、KUBE_APISERVER=https://192.168.200.225:6443中的ip地址在多master情况下应该填写为vip-ip(vip-ip不能有机器占用,是用lvs进行的负载均衡),本机只有一个master所以直接写了master的IP地址
###3.4建立TLS凭证
####3.4.1 API Server

cfssl gencert \
  -ca=${PKI_DIR}/ca.pem \
  -ca-key=${PKI_DIR}/ca-key.pem \
  -config=ca-config.json \
  -hostname=169.169.0.1,192.168.200.221,127.0.0.1,kubernetes.default \
  -profile=kubernetes \
  apiserver-csr.json | cfssljson -bare ${PKI_DIR}/apiserver

ls ${PKI_DIR}/apiserver*.pem

注:
1、 -hostname=169.169.0.1,192.168.200.221,127.0.0.1,kubernetes.default中169.169.0.1是文中超链接第一个的ClusterIP
2、 -hostname=169.169.0.1,192.168.200.221,127.0.0.1,kubernetes.default中192.168.200.221应该是apiserver的ip地址
####3.4.2 Front Proxy Client
此凭证将被用于 Authenticating Proxy 的功能上,而该功能主要是提供 API Aggregation 的认证。首先通过以下指令产生 CA:

cfssl gencert -initca front-proxy-ca-csr.json | cfssljson -bare ${PKI_DIR}/front-proxy-ca
ls ${PKI_DIR}/front-proxy-ca*.pem
/etc/kubernetes/pki/front-proxy-ca-key.pem  /etc/kubernetes/pki/front-proxy-ca.pem

接着产生 Front proxy client 凭证:

cfssl gencert \
  -ca=${PKI_DIR}/front-proxy-ca.pem \
  -ca-key=${PKI_DIR}/front-proxy-ca-key.pem \
  -config=ca-config.json \
  -profile=kubernetes \
  front-proxy-client-csr.json | cfssljson -bare ${PKI_DIR}/front-proxy-client

ls ${PKI_DIR}/front-proxy-client*.pem
/etc/kubernetes/pki/front-proxy-client-key.pem  /etc/kubernetes/pki/front-proxy-client.pem

####3.4.3 Controller Manager
凭证会建立system:kube-controller-manager的使用者(凭证 CN),并被绑定在 RBAC Cluster Role 中的system:kube-controller-manager来让 Controller Manager 组件能够存取需要的 API object。这边通过以下指令产生 Controller Manager 凭证:

cfssl gencert \
  -ca=${PKI_DIR}/ca.pem \
  -ca-key=${PKI_DIR}/ca-key.pem \
  -config=ca-config.json \
  -profile=kubernetes \
  manager-csr.json | cfssljson -bare ${PKI_DIR}/controller-manager

ls ${PKI_DIR}/controller-manager*.pem
/etc/kubernetes/pki/controller-manager-key.pem  /etc/kubernetes/pki/controller-manager.pem

接着利用kubectl来产生Controller Manager的kubeconfig档:

kubectl config set-cluster kubernetes \
    --certificate-authority=${PKI_DIR}/ca.pem \
    --embed-certs=true \
    --server=${KUBE_APISERVER} \
    --kubeconfig=${K8S_DIR}/controller-manager.conf

kubectl config set-credentials system:kube-controller-manager \
    --client-certificate=${PKI_DIR}/controller-manager.pem \
    --client-key=${PKI_DIR}/controller-manager-key.pem \
    --embed-certs=true \
    --kubeconfig=${K8S_DIR}/controller-manager.conf

kubectl config set-context system:kube-controller-manager@kubernetes \
    --cluster=kubernetes \
    --user=system:kube-controller-manager \
    --kubeconfig=${K8S_DIR}/controller-manager.conf

kubectl config use-context system:kube-controller-manager@kubernetes \
--kubeconfig=${K8S_DIR}/controller-manager.conf

####3.4.4 Scheduler
凭证会建立system:kube-scheduler的使用者(凭证 CN),并被绑定在 RBAC Cluster Role 中的system:kube-scheduler来让 Scheduler 组件能够存取需要的 API object。这边通过以下指令产生 Scheduler 凭证:

cfssl gencert \
  -ca=${PKI_DIR}/ca.pem \
  -ca-key=${PKI_DIR}/ca-key.pem \
  -config=ca-config.json \
  -profile=kubernetes \
  scheduler-csr.json | cfssljson -bare ${PKI_DIR}/scheduler

ls ${PKI_DIR}/scheduler*.pem
/etc/kubernetes/pki/scheduler-key.pem  /etc/kubernetes/pki/scheduler.pem

接着利用kubectl来产生Scheduler的kubeconfig文件:

kubectl config set-cluster kubernetes \
    --certificate-authority=${PKI_DIR}/ca.pem \
    --embed-certs=true \
    --server=${KUBE_APISERVER} \
    --kubeconfig=${K8S_DIR}/scheduler.conf

kubectl config set-credentials system:kube-scheduler \
    --client-certificate=${PKI_DIR}/scheduler.pem \
    --client-key=${PKI_DIR}/scheduler-key.pem \
    --embed-certs=true \
    --kubeconfig=${K8S_DIR}/scheduler.conf

kubectl config set-context system:kube-scheduler@kubernetes \
    --cluster=kubernetes \
    --user=system:kube-scheduler \
    --kubeconfig=${K8S_DIR}/scheduler.conf

kubectl config use-context system:kube-scheduler@kubernetes \
--kubeconfig=${K8S_DIR}/scheduler.conf

####3.4.5 Admin
Admin 被用来绑定 RBAC Cluster Role 中 cluster-admin,当想要操作所有 Kubernetes 集群功能时,就必须利用这边产生的 kubeconfig 文件案。这边通过以下指令产生 Kubernetes Admin 凭证:

cfssl gencert \
  -ca=${PKI_DIR}/ca.pem \
  -ca-key=${PKI_DIR}/ca-key.pem \
  -config=ca-config.json \
  -profile=kubernetes \
  admin-csr.json | cfssljson -bare ${PKI_DIR}/admin

ls ${PKI_DIR}/admin*.pem
/etc/kubernetes/pki/admin-key.pem  /etc/kubernetes/pki/admin.pem

接着利用kubectl来产生Admin的kubeconfig文件:

kubectl config set-cluster kubernetes \
    --certificate-authority=${PKI_DIR}/ca.pem \
    --embed-certs=true \
    --server=${KUBE_APISERVER} \
    --kubeconfig=${K8S_DIR}/admin.conf

kubectl config set-credentials kubernetes-admin \
    --client-certificate=${PKI_DIR}/admin.pem \
    --client-key=${PKI_DIR}/admin-key.pem \
    --embed-certs=true \
    --kubeconfig=${K8S_DIR}/admin.conf

kubectl config set-context kubernetes-admin@kubernetes \
    --cluster=kubernetes \
    --user=kubernetes-admin \
    --kubeconfig=${K8S_DIR}/admin.conf

kubectl config use-context kubernetes-admin@kubernetes \
--kubeconfig=${K8S_DIR}/admin.conf
ciqingloveless
关注
专栏目录
centos7 kubernetes(k8s)1.12集群部署与使用(二):证书制作和etcd集群部署
夏冬丶王阳旭
01-08 1487
概述     上一篇已经为大家简单介绍了kubernetes集群的架构和做了基本的系统初始化,这一篇我们继续,这篇主要进行证书制作和etcd集群的部署。kubernetes集群的安全严,整个集群的交互都需要很多的证书相互认证,这里通过手动制作证书来完成。etcd作为kubernetes集群的数据存储方式,是基础依赖,需要先部署。 ps: 为了更好的让大家理解集群的整个结构,整个系列部署都是采用...
linux 生成p12证书,Linux下使用openssl制作CA及证书颁发
weixin_34435322的博客
05-13 1894
Linux下使用openssl制作CA及证书颁发一. 创建CA ................................................................................ 21. 创建CA需要用到的目录和文件: ............................... 22. 生成CA的私钥和自签名证书(即根证书) ..............
k8s二进制安装.pdf
05-17
较详细的Kubernetes-v1.12二进制部署集群文档,含基础插件
CentOS6.5下openssl加密解密及CA自签颁发证书详解
andylau00j的专栏
01-17 4264
前言    openSSL是一款功能强大的加密工具、我们当中许多人已经在使用openSSL、用于创建RSA私钥或证书签名请求、不过、你可知道可以使用openSSL来测试计算机速度?或者还可以用它来对文件或消息进行加密。 正文    openssl是一个开源程序的套件、这个套件有三个部分组成、一是libcryto、这是一个具有通用功能的加密库、里面实现了众多的加密库、二是libssl、这个
CentOS导入CA证书
xuq09的专栏
12-13 4756
由于某些需要在设置好xxnet的相关属性后,通过web浏览器访问网站的时候总是报证书错误, 把相关的证书导入到浏览器里面也不行,如是有了以下的方法: 把CA放到/etc/pki/ca-trust/source/anchors,在命令行运行/bin/update-ca-trust, 这样证书就导入到系统中去了。 这样就可以顺利的使用xxnet了。  ...
Kubernetes v1.12 手动二进制部署集群.pdf
12-12
### Kubernetes v1.12 手动二进制部署集群 #### 一、概述 本文档将详细介绍如何在生产环境中手动使用二进制包部署Kubernetes v1.12集群的过程,包括所需的软件版本、操作系统配置以及具体部署步骤。通过这种方式...
Kubernetesv1.12手动二进制部署集群
01-05
### Kubernetes v1.12 手动二进制部署集群详解 #### 一、环境配置与准备工作 在开始部署Kubernetes v1.12集群之前,我们需要了解几个关键的环境参数,包括所使用的软件版本、操作系统及各节点的角色分配。 **软件...
k8s 二进制安装 etcd 3.5.1
03-21
### 二、二进制安装etcd 3.5.1 1. **下载二进制文件**:首先,从官方仓库下载etcd 3.5.1的Linux AMD64版本。你可以访问[etcd releases页面](https://github.com/etcd-io/etcd/releases)下载,或者通过wget命令: ...
CentOS 7.5二进制部署Kubernetes1.12(加密通信)(五)
weixin_33881041的博客
11-28 234
一、安装方式介绍 1、yum 安装 目前CentOS官方已经把Kubernetes源放入到自己的默认 extras 仓库里面,使用 yum 安装,好处是简单,坏处也很明显,需要官方更新 yum 源才能获得最新版本的软件,而所有软件的依赖又不能自己指定,尤其是你的操作系统版本如果低的话,使用 yum 源安装Kubernetes 的版本也会受到限制,通常会低于官方很多版本,我安装的时候目前官方版本...
生成p12自签名数字证书&使用p12证书为apk签名
MR CUI的专栏
09-09 1万+
本文为本人实践并整理http://zengrong.net/post/1695.htm、http://blog.chinaunix.net/uid-20593721-id-4277435.html两篇文章。 一、生成Google Play需要的p12自签名数字证书 生成p12证书有两个工具可以使用: 1.使用AIR ADT工具 2.使用JDK TOOL工具 1.使用AIR
liunx 系统 微信证书apiclient_cert.p12获取
chycmds的博客
09-06 1万+
微信证书在linux系统读取,用file找不到路径 可用:ClassPathResource cp = new ClassPathResource(“apiclient_cert.p12”);
centos7二进制安装kubernetes1.12添加证书配置
ciqingloveless的博客
09-05 2229
kubernetes基础安装请看以下文档 https://blog.csdn.net/ciqingloveless/article/details/82348490 其中证书配置部分可以查看 https://blog.csdn.net/ciqingloveless/article/details/81741988 一 证书配置 1 配置Kubernetes CNI(所以节点) ...
一 、k8s1.12优化 二进制安装(非常方便维护)
机器重启员的博客
11-12 2481
1.12我将采用更加优化的部署方式,方便维护管理 环境规划参考: 各个组件证书依赖 1、安装证书工具: 2、etcd安装 3、flanneld 安装 4、docker配置 5、配置k8s组件证书 6、安装master组件 7、安装node组件 8 增加节点 1、安装证书工具: cd /opt/ssl wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64...
kubernetes v1.12.0集群部署(二进制方式+基于CA签名双向数字证书认证方式)
噜噜噜的博客
10-02 1803
kubernetes 最简单的方式是通过yum install kubernetes 直接安装,但是默认安装的是v5版本的kubernetes,所以不推荐使用,还有一种是在v1.4版本开始引入了的kubeadm工具一键部署,但是如果 没有访问gcr.io的网络环境的话部署过程会报错。所以我这边推荐使用二进制的方式部署   源码包下载地址: https://github.com/kuberne...
k8s集群部署一:环境规划、docker安装证书生成、etcd部署
lyzkks的博客
04-14 3745
环境规划 概述 虚拟机部署一个2节点1master的小型集群,并且在master和node上都安装etcd来实现etcd集群。 软件选型及版本 软件 版本 Linux 系统 CentOS Linux release 7.3.1611 (Core) kubernetes 1.9 Docker 17.12-ce etcd ...
k8s在其他用户下报错: /etc/kubernetes/admin.conf permission denied
热门推荐
xuxuxu1222的博客
08-14 2万+
背景:最近客户需要回收root权限,需要自己创建audio用户并设置为sudo权限 问题:项目都是用k8s部署的,创建了audio用户并设置了sudo权限之后,切换到audio用户下执行 kubectl get po报错: error: Error loading config file "/etc/kubernetes/admin.conf": open /etc/kubernetes/adm...
Kubernetes Https证书转换方法
wenwst的专栏
09-12 2432
证书创建方法    mkdir /etc/kubernetes/sslcd /etc/kubernetes/sslopenssl genrsa -out ca-key.pem 2048openssl req -x509 -new -nodes -key ca-key.pem -days 10000 -out ca.pem -subj "/CN=kube-ca"cat >> openssl
centos7.2简易二进制方式安装k8s v1.12.1 + flanneld
qq_43240984的博客
11-13 534
1.软件下载     (1)下载安装Docker(node节点)         ①yum -y install yum-utils         ②yum-config-manager --add-repo  https://download.docker.com/linux/centos/docker-ce.repo         ③yum makecache         ④ wget...
手动部署Kubernetes v1.12二进制集群详解
1. 在所有节点上安装必要的软件,包括CentOS、Docker、Kubernetes二进制文件以及cfssl工具。 2. 使用cfssl生成Etcd集群的证书和私钥,确保各节点之间的通信安全。 3. 部署etcd集群,每个节点上启动etcd服务,配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值