kubernetes实践之三:ETCD TLS证书集群安装

最新推荐文章于 2023-04-10 14:31:46 发布
最新推荐文章于 2023-04-10 14:31:46 发布
阅读量233 收藏
点赞数
一:前言

kuberntes 系统使用etcd 存储所有数据,部署一个三节点的 etcd 集群,需要为 etcd 集群创建加密通信的 TLS 证书,复制以前创建的kubernetes 证书。cp ca.pem kubernetes-key.pem kubernetes.pem /etc/kubernetes/ssl。

iZwz95trb3stk6afg8oozuZ :10.116.137.196
iZwz96e1vc35er68nlrcauZ :10.116.82.28
iZwz96e1vc35er68nlrcatZ :10.116.36.57

二:ETCD 安装


点击(此处)折叠或打开

  1. wget https://github.com/coreos/etcd/releases/download/v3.3.2/etc
  2. d-v3.3.2-linux-amd64.tar.gz
  3. tar -xvf etcd-v3.3.2-linux-amd64.tar.gz
  4. mv etcd-v3.3.2-linux-amd64/etcd* /usr/local/bin
三:创建 etcd 的 systemd unit 文件
/usr/lib/systemd/system/etcd.service

点击(此处)折叠或打开

  1. [Unit]
  2. Description=Etcd Server
  3. After=network.target
  4. After=network-online.target
  5. Wants=network-online.target

  7. [Service]
  8. Type=notify
  9. WorkingDirectory=/var/lib/etcd/
  10. EnvironmentFile=/etc/etcd/etcd.conf
  11. ExecStart=/bin/bash -c "GOMAXPROCS=$(nproc) /usr/bin/etcd --name=\"${ETCD_NAME}\" --cert-file=\"${ETCD_CERT_FILE}\" --key-file=\"${ETCD_KEY_FILE}\" --trusted-ca-file=\"${ETCD_TRUSTED_CA_FILE}\" --peer-cert-file=\"${ETCD_PEER_CERT_FILE}\" --peer-key-file=\"${ETCD_PEER_KEY_FILE}\" --peer-trusted-ca-file=\"${ETCD_PEER_TRUSTED_CA_FILE}\" --data-dir=\"${ETCD_DATA_DIR}\" --listen-client-urls=\"${ETCD_LISTEN_CLIENT_URLS}\" --listen-peer-urls=\"${ETCD_LISTEN_PEER_URLS}\" --advertise-client-urls=\"${ETCD_ADVERTISE_CLIENT_URLS}\" --initial-advertise-peer-urls=\"${ETCD_INITIAL_ADVERTISE_PEER_URLS}\" --initial-cluster=\"${ETCD_INITIAL_CLUSTER}\" --initial-cluster-state=\"${ETCD_INITIAL_CLUSTER_STATE}\""
  12. Restart=on-failure
  13. LimitNOFILE=65536

  15. [Install]
  16. WantedBy=multi-user.target
四:环境变量配置文件 /etc/etcd/etcd.conf


点击(此处)折叠或打开

  1. # [member]
  2. ETCD_NAME=iZwz96e1vc35er68nlrcauZ
  3. ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
  4. ETCD_LISTEN_PEER_URLS="https://10.116.82.28:2380"
  5. ETCD_LISTEN_CLIENT_URLS="https://10.116.82.28:2379,https://127.0.0.1:2379"

  7. # [cluster]
  8. ETCD_INITIAL_ADVERTISE_PEER_URLS="https://10.116.82.28:2380"
  9. ETCD_INITIAL_CLUSTER="iZwz95trb3stk6afg8oozuZ=https://10.116.137.196:2380,iZwz96e1vc35er68nlrcauZ=https://10.116.82.28:2380,iZwz96e1vc35er68nlrcatZ=https://10.116.36.57:2380"
  10. ETCD_INITIAL_CLUSTER_STATE="new"
  11. ETCD_INITIAL_CLUSTER_TOKEN="k8s-etcd-cluster"
  12. ETCD_ADVERTISE_CLIENT_URLS="https://10.116.82.28:2379"

  14. # [security]
  15. ETCD_CERT_FILE="/etc/kubernetes/ssl/kubernetes.pem"
  16. ETCD_KEY_FILE="/etc/kubernetes/ssl/kubernetes-key.pem"
  17. ETCD_TRUSTED_CA_FILE="/etc/kubernetes/ssl/ca.pem"
  18. ETCD_PEER_CERT_FILE="/etc/kubernetes/ssl/kubernetes.pem"
  19. ETCD_PEER_KEY_FILE="/etc/kubernetes/ssl/kubernetes-key.pem"
  20. ETCD_PEER_TRUSTED_CA_FILE="/etc/kubernetes/ssl/ca.pem"

五:启动 etcd 服务

systemctl daemon-reload
systemctl enable etcd
systemctl start etcd
systemctl status etcd

六:验证服务
etcdctl --ca-file=/etc/kubernetes/ssl/ca.pem --cert-file=/etc/kubernetes/ssl/kubernetes.pem --key-file=/etc/kubernetes/ssl/kubernetes-key.pem  --endpoints=https://127.0.0.1:2379 cluster-health


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/28624388/viewspace-2151775/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/28624388/viewspace-2151775/

clmaykr95629
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ETCD集群搭建和TLS证书访问
Hey,I'm emmby
08-30 2733
在`/etc/profile`文件中添加环境变量 vi /etc/profile ... export ETCDCTL_API=3 ... source /etc/profile ETCD常用命令 $ ENDPOINTS=10.208.2.145:2379,10.208.2.146:2379,10.208.2.150:2379,10.208.2.151:2379,10.208.2.152:2379 $ bin/etcdctl --write-out=table --endpoints=$ENDPOINTS
kubernetes搭建etcd集群
等风来也chen
11-17 659
Etcd 下载etcd yum -y install etcd-3.3.11 修改配置文件 /etc/etcd/etcd.conf ETCD_NAME="etcd1" ETCD_DATA_DIR="/var/lib/etcd/default.etcd" ETCD_LISTEN_PEER_URLS="http://192.168.110.3:2380" ETCD_LISTEN_CLIEN...
kubernetes实践之一:Etcd3集群搭建
clmaykr95629的博客
06-03 160
一:Etcd简介 ETCD是用于共享配置和服务发现的分布式,一致性的KV存储系统。类似于Zookeeper. ETCD的使用场景:配置管理,服务注册于发现,选主,应用调度,分布式队列,分布式锁. ETCD使用Raft协议来...
kubeadm安装Kubernetes etcd备份恢复
weixin_33738982的博客
09-18 1033
kubeadm安装Kubernetes etcd备份恢复 [TOC] 1. 事件由来 2018年9月16日台风过后,我的一套kuernetes测试系统,etcd启动失败,经过半天的抢救,仍然无果(3台master都是如下错误)。无奈再花半天时间把环境重新弄了起来。即使是etcd集群,备份也是必须的,因为数据没了,就都没了。好在问题出现得早,要是正式生产出现这种情况,估计要卷铺盖走人了。因此,研究...
傻傻分不清楚的kubernetes证书
github_35614077的博客
04-05 1604
傻傻分不清楚的kubernetes证书 kubeadm 生成的一坨证书是不是让人很蒙逼,这些东西没那么神奇,来深入扒扒其内裤。 root@k8s-master:/etc/kubernetes/pki# tree . |-- apiserver.crt |-- apiserver-etcd-client.crt |-- apiserver-etcd-client.key |-- apiserver....
Kubernetes 证书配置
小楼一夜听春雨,深巷明朝卖杏花
03-29 1083
Kubernetes 证书配置大全 证书是网络通信的安全的要素,是现代网络通信的基本配置。各种远程调用的安全都离不开非对称加密提供的保障。 下载证书工具 cfssl 是 CloudFlare 开源的一款PKI/TLS工具。 CFSSL 包含一个命令行工具(cfssl, cfssljson)用于签名,验证并且捆绑TLS证书的 HTTP API 服务。 使用Go语言编写。与 OpenSSL 相比,cfssl 使用起来更简单。 Github 地址:https://github.com/...
kubernetes证书安装
bee-factory
04-12 694
创建 CA 证书和秘钥kubernetes 系统各组件需要使用 TLS 证书对通信进行加密,本文档使用 CloudFlare 的 PKI 工具集 cfssl 来生成 Certificate Authority (CA) 证书和秘钥文件,CA 是自签名的证书,用来签名后续创建的其它 TLS 证书安装 CFSSL$ wget https://pkg.cfssl.org/R1.2/cfssl_linu...
Kubernetes 控制平面组件:etcd
niwoxiangyu的博客
01-13 150
etcd Etcd是CoreOS基于Raft开发的分布式key-value存储,可用于服务发现、共享配置以及一致性 保障(如数据库选主、分布式锁等)。 在分布式系统中,如何管理节点间的状态一直是一个难题,etcd像是专门为集群环境的服务发现 和注册而设计,它提供了数据TTL失效、数据改变监视、多值、目录监听、分布式锁原子操作等 功能,可以方便的跟踪并管理集群节点的状态。 ? 键值对存储:将数据存储在分层组织的目录中,如同在标准文件系统中 ? 监测变更:监测特定的键或目录以进行更改,并对值的更改做出反应 ?
Kubernetes集群部署教程-ETCD集群部署
guting18893110463的博客
04-10 1101
Etcd 是一个分布式键值存储系统,Kubernetes使用Etcd进行数据存储,所以先准备一个Etcd数据库,为解决Etcd单点故障,应采用集群方式部署
Kubernetes 证书一键生成(包含 etcd 证书)
最新发布
04-30
"k8s-tls"可能是生成证书的脚本或工具,它可以读取config.yaml,并自动生成所需的所有证书和密钥,包括Kubernetes控制平面和etcd组件的证书。 **证书生命周期管理** Kubernetes证书有固定的生命周期,过期后需要...
Kubernetes生产实践系列之七:通过etcd备份和恢复Kubernetes集群状态
cloudvtech的博客
05-08 1097
一、前言
kubernetes 证书合集
看,未来的博客
06-09 923
Kubernetes需要PKI证书才能通过TLS进行身份验证。如果使用kubeadm安装Kubernetes,则会自动生成集群所需的证书。还可以生成自己的证书,例如,通过不将私钥存储在API服务器上来保持私钥更安全。 当然,我们目前是在手动安装嘛。安装出了点故障,说证书不合法,所以想了想,还是先整理一遍证书吧,不然后面还可能再出这种问题,排查又不好排查。先从Etcd算起: 再算kubernetes: 加起来共8套。同一个套内的证书必须是用同一个CA签署的,签署不同套里的证书的CA可以相同,也可以不同。例如,
Kubernetes (K8s)安装部署过程(四)之创建高可用etcd集群
云深海阔专栏
08-13 988
kuberntes 系统使用 etcd 存储所有数据,本文档介绍部署一个三节点高可用 etcd 集群的步骤,这三个节点复用 kubernetes master 机器 1、TLS 认证文件 需要为 etcd 集群创建加密通信的 TLS 证书etcd集群认证用,除了本机有,分发到其他node节点 [root@k8s_Master ssl]# scp ca.pem kubernetes-key.pem kubernetes.pem root@192.168.0.222:/etc/kubernetes/s
Etcdkubernetes集群中的作用
热门推荐
菲宇运维
09-27 1万+
EtcdKubernetes集群中的一个十分重要的组件,用于保存集群所有的网络配置和对象的状态信息。在后面具体的安装环境中,我们安装etcd的版本是v3.1.5,整个kubernetes系统中一共有两个服务需要用到etcd用来协同和存储配置,分别是: 网络插件flannel、对于其它网络插件也需要用到etcd存储网络的配置信息 kubernetes本身,包括各种对象的状态和元信息配置 注意...
kubernetes证书生成
沈首二
11-04 1万+
kubernetes证书生成为了安全起见,建议在kubernetes中使用安全证书。在之前的文章中,而是统一在集群搭建中制造,并没有单独介绍证书的生成。本文将介绍kubernetes证书生成。一下文章将需要生成如下证书: 根证书公钥与私钥:ca.pem与ca-key.pem API Server公钥与私钥:apiserver.pem与apiserver-key.pem 集群管理员公钥与私钥:ad
Kubernetes Https证书转换方法
wenwst的专栏
09-12 2430
证书创建方法    mkdir /etc/kubernetes/sslcd /etc/kubernetes/sslopenssl genrsa -out ca-key.pem 2048openssl req -x509 -new -nodes -key ca-key.pem -days 10000 -out ca.pem -subj "/CN=kube-ca"cat >> openssl
Kubernetes K8S之SSL证书有效期修改
踏歌行的专栏
08-02 1317
如何修改Kubernetes的SSL证书有效期
Kubernetes实战[2]: 服务发现机制与Cluster DNS的安装(无CA认证版)
weixin_33862041的博客
06-04 605
服务发现机制Kubernetes提供了两种发现Service的方法: 1.环境变量 当Pod运行的时候,Kubernetes会将之前存在的Service的信息通过环境变量写到Pod中。 这种方法要求Pod必须要在Service之后启动。 在Service之前启动的Pod就不会有该Service的环境变量。 采用DNS的方式就没有这个限制。...
kubernetes运行机制及术语
运维学习记录
12-31 476
master节点运行机制 kube-apiserver k8s API Server提供了k8s各类资源对象(pod,RC,Service等)的增删改查及watch等HTTP Rest接口,是整个系统 的数据总线和数据中心。 提供了集群管理的REST API接口(包括认证授权、数据校验以及集群状态变更); 提供其他模块之间的数据交互和通信的枢纽(其他模块通过API Server查询或修改数据,只有API Server才直接操作 etcd); 是资源配额控制的入口; 拥有完备的集群安.
k8s关键知识点:etcd集群证书配置与apiserver详解
1. etcd集群etcd是k8s的核心组件,作为分布式键值存储系统,存储了k8s的所有集群状态数据。为避免单点故障,etcd通常以集群形式部署,如3节点或5节点,确保一定的容错能力。etcd集群既可以与k8s节点复用硬件,也...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值