etcd集群加认证安装部署

最新推荐文章于 2024-09-14 11:53:01 发布
最新推荐文章于 2024-09-14 11:53:01 发布
阅读量1.2k 收藏 2
点赞数

介绍

etcd 是一个分布式一致性 K-V 存储系统,可用于服务注册发现与共享配置,具有以下优点:

  1. 简单:相比于晦涩难懂的 Paxos 算法,etcd 基于相对简单且易实现的 Raft 算法实现一致性,并通过 gRPC 提供接口调用
  2. 安全:支持 TLS 通信,并可以针对不同的用户进行对 key 的读写控制
  3. 高性能:10,000/秒的写性能

 

一、环境准备

1.1 机器信息

主机名IP系统
node1172.29.150.202Centos 7.2
node2172.29.150.203Centos 7.2
node3172.29.150.204Centos 7.2

1.2 关闭防火墙及 SELinux

systemctl stop iptables
systemctl stop firewalld
systemctl disable iptables
systemctl disable firewalld
vi /etc/selinux/config
SELINUX=disable

1.3 设置 hosts

vim /etc/hosts
172.29.150.202 node1
172.29.150.203 node2
172.29.150.204 node3

1.4 创建用户

useradd etcd -d /opt/platform/etcd -c "Etcd user" -r -s /sbin/nologin

二、创建验证

2.1 安装 CFSSL

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
chmod +x cfssl_linux-amd64 cfssljson_linux-amd64
mv cfssl_linux-amd64 /usr/local/bin/cfssl
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson

2.2 创建 CA 证书配置,生成 CA 证书和私钥

先用 cfssl 命令生成包含默认配置的 config.json 和 csr.json 文件

mkdir /opt/ssl
cd /opt/ssl
cfssl print-defaults config > config.json
cfssl print-defaults csr > csr.json

然后分别修改这两个文件为如下内容

config.json

{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}

ca-config.json:

可以定义多个 profiles,分别指定不同的过期时间、使用场景等参数;后续在签名证书时使用某个 profile;

signing:

表示该证书可用于签名其它证书;生成的 ca.pem 证书中 CA=TRUE;

server auth:

表示 Client 可以用该 CA 对 Server 提供的证书进行验证;

client auth:

表示 Server 可以用该 CA 对 Client 提供的证书进行验证;

csr.json

{
  "CN": "kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Wuhan",
      "L": "Hubei",
      "O": "k8s",
      "OU": "System"
    }
  ]
}

CN:

Common Name,kube-apiserver 从证书中提取该字段作为请求的用户名(User Name);浏览器使用该字段验证网站是否合法;

O:

Organization,kube-apiserver 从证书中提取该字段作为请求用户所属的组(Group);

生成 CA 证书和私钥

cd /opt/ssl
cfssl gencert -initca csr.json | cfssljson -bare ca

CA 有关证书列表如下:

[root@k8s-console ssl]# tree
.
├── ca.csr
├── ca-key.pem
├── ca.pem
├── config.json
└── csr.json

2.3 创建 etcd 证书配置,生成 etcd 证书和私钥

在 /opt/ssl 下添加文件 etcd-csr.json,内容如下

{
  "CN": "etcd",
  "hosts": [
    "127.0.0.1",
    "172.29.150.202",
    "172.29.150.203",
    "172.29.150.204"
  ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Shanghai",
      "L": "Shanghai",
      "O": "etcd",
      "OU": "Etcd Security"
    }
  ]
}

生成 etcd 证书和密钥

cd /opt/ssl
cfssl gencert -ca=/opt/ssl/ca.pem \
-ca-key=/opt/ssl/ca-key.pem \
-config=/opt/ssl/config.json \
-profile=kubernetes etcd-csr.json | cfssljson -bare etcd

etcd 有关证书证书列表如下

ls etcd*
etcd.csr  etcd-csr.json  etcd-key.pem  etcd.pem

2.4 证书分发

for IP in `seq 202 204`;do
    scp scp ca*.pem etcd*.pem root@172.29.150.$IP:/opt/ssl
done

给证书读权限

chmod 644 /opt/ssl/*

三、安装 etcd

3.1 在三台上都安装 etcd

tar -xvf etcd-v3.3.4-linux-amd64.tar.gz
cd etcd-v3.3.4-linux-amd64
cp mv etcd* /opt/platform/etcd/
cd ..
rm -rf etcd-v3.3.4-linux-amd64

3.2 添加 etcd 配置

注意:不同机器的配置不一样 ETCD_NAMEETCD_ADVERTISE_CLIENT_URLSETCD_INITIAL_ADVERTISE_PEER_URLS

vim /opt/platform/etcd/etcd.conf

# [member]
ETCD_NAME=etcd1
ETCD_DATA_DIR=/opt/platform/etcd/data
ETCD_LISTEN_PEER_URLS=https://0.0.0.0:2380
ETCD_LISTEN_CLIENT_URLS=https://0.0.0.0:2379

# [cluster]
ETCD_ADVERTISE_CLIENT_URLS=https://172.29.150.202:2379
ETCD_INITIAL_ADVERTISE_PEER_URLS=https://172.29.150.202:2380
ETCD_INITIAL_CLUSTER="etcd1=https://172.29.150.202:2380,etcd2=https://172.29.150.203:2380,etcd3=https://172.29.150.204:2380"
ETCD_INITIAL_CLUSTER_STATE=new
ETCD_INITIAL_CLUSTER_TOKEN=etcd-cluster

# [security]
ETCD_CERT_FILE="/opt/ssl/etcd.pem"
ETCD_KEY_FILE="/opt/ssl/etcd-key.pem"
ETCD_CLIENT_CERT_AUTH="true"
ETCD_TRUSTED_CA_FILE="/opt/ssl/ca.pem"
ETCD_AUTO_TLS="true"
ETCD_PEER_CERT_FILE="/opt/ssl/etcd.pem"
ETCD_PEER_KEY_FILE="/opt/ssl/etcd-key.pem"
ETCD_PEER_CLIENT_CERT_AUTH="true"
ETCD_PEER_TRUSTED_CA_FILE="/opt/ssl/ca.pem"
ETCD_PEER_AUTO_TLS="true"

配置说明

ETCD_NAME:

etcd 集群中的节点名,这里可以随意,可区分且不重复就行。

ETCD_LISTEN_PEER_URLS:

监听的用于节点之间通信的 URL,可监听多个,集群内部将通过这些 URL 进行数据交互(如选举、数据同步等)。

ETCD_LISTEN_CLIENT_URLS:

监听的用于客户端通信的 URL,同样可以监听多个。

ETCD_ADVERTISE_CLIENT_URLS:

建议使用的客户端通信 URL,该值用于 etcd 代理或 etcd 成员与 etcd 节点通信。

ETCD_INITIAL_ADVERTISE_PEER_URLS:

建议用于节点之间通信的 URL,节点间将以该值进行通信。

ETCD_INITIAL_CLUSTER:

也就是集群中所有的 initial--advertise-peer-urls 的合集。

ETCD_INITIAL_CLUSTER_STATE:

新建集群的标志。

ETCD_INITIAL_CLUSTER_TOKEN:

节点的 token 值,设置该值后集群将生成唯一 ID,并为每个节点也生成唯一 ID,当使用相同配置文件再启动一个集群时,只要该 token 值不一样,etcd 集群就不会相互影响。

3.3 添加系统服务

vim /usr/lib/systemd/system/etcd.service

[Unit]
Description=Etcd Service
After=network.target

[Service]
Environment=ETCD_DATA_DIR
EnvironmentFile=-/opt/platform/etcd/etcd.conf
Type=notify
User=etcd
WorkingDirectory=/opt/platform/etcd
PermissionsStartOnly=true
ExecStart=/usr/bin/etcd
Restart=on-failure
RestartSec=10
LimitNOFILE=65536

[Install]
WantedBy=multi-user.target

3.4 创建 data 目录,然后启动 etcd 服务

mkdir -p /opt/platform/etcd/data && chown etcd:etcd -R /opt/platform/etcd
systemctl enable etcd.service && systemctl start etcd.service

四、验证 etcd 集群状态

查看 etcd 集群状态

etcdctl \
  --endpoints=https://172.29.150.202:2379 \
  --cert-file=/opt/ssl/etcd.pem \
  --ca-file=/opt/ssl/ca.pem \
  --key-file=/opt/ssl/etcd-key.pem \
  cluster-health

member 35b8f6acff2c4453 is healthy: got healthy result from https://172.29.150.202:2379
member 718a387d5439a839 is healthy: got healthy result from https://172.29.150.203:2379
member 75b9609afd556afb is healthy: got healthy result from https://172.29.150.204:2379
cluster is healthy

查看 etcd 集群成员

etcdctl \
  --endpoints=https://172.29.150.202:2379 \
  --cert-file=/opt/ssl/etcd.pem \
  --ca-file=/opt/ssl/ca.pem \
  --key-file=/opt/ssl/etcd-key.pem \
  member list

35b8f6acff2c4453: name=etcd1 peerURLs=https://172.29.150.202:2380 clientURLs=https://172.29.150.202:2379 isLeader=true
718a387d5439a839: name=etcd2 peerURLs=https://172.29.150.203:2380 clientURLs=https://172.29.150.203:2379 isLeader=false
75b9609afd556afb: name=etcd3 peerURLs=https://172.29.150.204:2380 clientURLs=https://172.29.150.204:2379 isLeader=false

五、参考链接

https://kevinguo.me/2017/09/22/manual-deploy-kubernetes/#验证etcd-集群状态
https://coreos.com/etcd/docs/latest/op-guide/configuration.html
http://cizixs.com/2016/08/02/intro-to-etcd

junior1206
关注
【kubernetes】Etcd集群部署与验证
weixin_45842494的博客
06-20 1643
二进制部署kubernetes集群在企业应用中扮演着非常重要的角色。无论是集群升级,还是证书设置有效期都非常方便,也是从事云原生相关工作从入门到精通不得不迈过的坎。通过本系列文章,你将从虚拟机准备开始,到使用二进制方式从零到一搭建起安全稳定的高可用kubernetes集群,对各个组件的部署过程有一个清晰的认识。我将展现完整的集群搭建过程,重点部分将进行说明。并提供一站式、完整的资源文件包。希望通过本系列的学习,你能真正学习到有价值的知识,更好得应对工作中遇到的问题。如有疑问,可扫码联系我。
Etcd集群安装部署
砌墙民工的博客
08-10 1393
etcd 是一个分布式键值对存储系统,由coreos 开发,内部采用 raft 协议作为一致性算法,用于可靠、快速地保存关键数据,并提供访问。通过分布式锁、leader选举和写屏障(write barriers),来实现可靠的分布式协作。etcd集群是为高可用、持久化数据存储和检索而准备。 本文是绝对可以安装通过的,而且不会出现问题。
etcd 集群部署
u012565458的博客
04-20 828
etcd集群部署
二进制部署ETCD单机版
最新发布
秦子腾
09-14 1011
注意:上述文件hosts字段中IP为所有etcd节点的集群内部通信IP,可以预留几个,后续做扩容用,就不用在重新配置证书了。创建工作目录,证书配置相关文件在此目录进行生成,之后在同步在master主机。5、创建CA证书配置文件,用于定义证书颁发机构 (CA) 的签名策略和配置。在操作签发证书操作时一定要检查服务器时间、时区是否一致,会导致证书不可用。6、创建etcd生成证书签名请求文件。3、创建CA生成证书签名请求文件。创建CA证书签名请求文件。8、同步相关证书文件到。7、签发etcd证书
ETCD集群部署
小单的博客专栏
03-13 4635
ETCD集群部署+flannel 附件 /opt/soft/etcd/etcd-v3.4.4-linux-amd64.tar.gz 下载地址:https://github.com/etcd-io/etcd/releases 服务器 192.168.1.54、192.168.1.65、192.168.1.105 安装 1、解压包(每台机器) ETCD_VER=v3.4.4 cd /opt/soft/...
etcd高可用集群部署
the_coco的博客
08-08 1514
在生产环境中,为了整个集群的高可用,etcd 正常都会集群部署,避免单点故障。
ETCD集群部署并开启身份认证
guyougao的博客
01-16 2805
etcd集群部署
etcd 集群部署包 TLS.tar.gz
06-29
**etcd集群部署详解** etcd是一个分布式的、高可用的键值存储系统,用于共享配置和服务发现。在Kubernetes(k8s)环境中,etcd扮演着核心角色,存储了集群的所有状态信息,包括Pod、Service、Deployment等对象的...
Etcd教程 — 第四章 Etcd集群安全配置_etcd 集群配置
2401_84239625的博客
04-28 1164
本文是在Etcd教程 — 第二章 Etcd集群静态发现 2.3节基础上进行的。: 用于服务端认证客户端,例如etcdctl、etcd proxy、fleetctl、docker客户端。: 服务端使用,客户端以此验证服务端身份,例如docker服务端、kube-apiserver。: 双向证书,用于etcd集群成员间通信。
【云原生Kubernetes】二进制搭建Kubernetes集群(上)——部署etcd集群和单master
在熙丶的博客
07-18 739
文章目录前言单master集群架构图一、实验环境二、部署etcd集群2.1 操作系统初始化配置2.2 部署 etcd 集群(分布式键值对数据库)1)在 etcd01 节点上操作2)在 etcd02 和 etcd03 节点上操作在 etcd02 节点上操作(42主机):在 etcd03 节点上操作(43主机):检查etcd群集状态:三、部署 Master 组件总结etcd数据库:etcd安装步骤:master组件安装步骤:1.先安装apiserver2.再启动controller-manager 和sched
Etcd集群安装配置
TonyGTR的博客
12-07 650
第一章:环境 本人使用的环境为:centos7 服务器相关信息:
etcd-cert-server:通过HTTP提供etcd客户端TLS的密钥证书
04-27
etcd-cert-server 通过HTTP提供etcd客户端TLS的密钥/证书
etcd开启身份验证
fusugongzi的博客
04-25 2325
etcd有两种身份验证方式:1. 用户名密码2. 证书这里采用用户名密码的验证方式以下命令使用的etcd版本是3.5.0。
ETCD 部署并启用证书认证
追梦者的部落格
06-29 4645
证书生成 证书生成的方式非常多,同类的文档也很容易找到,这里推荐此篇文章:https://coreos.com/os/docs/latest/generate-self-signed-certificates.html,但是由于etcd的特殊性,server端配置证书,也会被用于去进行客户端认证,因此需要在 server 的 usages 里面上:client auth选项,否则会出现此种问题:certificate specifies an incompatible key usage 下面是完整的c
Etcd实战、一(安装配置、设置集群认证
目标架构师,进击!
02-19 2461
ETCD 前言:etcd是CoreOS团队于2013年6月发起的开源项目,它的目标是构建一个高可用的分布式键值(key-value)数据库。etcd内部采用raft协议作为一致性算法,etcd基于Go语言实现 本文非原理介绍,仅介绍etcd在linux上的安装及在go下的使用 简介 核心:k-v存储,高可用,分布式,raft,go (嗯具体底层可以阅读源码) 使用场景:服务发现,分布式配置...
linux下ETCD安装配置、命令
linux
08-14 1707
ETCD 是一个高可用的分布式键值存储,常用于分布式系统中来存储配置数据和元数据。它特别适合作为 Kubernetes 等容器编排系统的后台存储。下面介绍在 Linux 下安装配置 ETCD 以及常用命令。
LinuX下ETCD安装配置、命令
hai40587的博客
08-16 1549
ETCD是一个高可用的键值存储系统,由CoreOS开发,采用Raft算法来保证数据的强一致性。它广泛应用于服务发现、配置共享、分布式锁以及任何需要一致性和高可用性的场景中。ETCD以其简单、可靠和强大的特性成为分布式系统的核心组件之一。
etcd自动化安装配置教程
虫虫的博客
02-01 1017
etcd自动化安装配置教程
ETCD 安全证书
专注基础架构领域
08-21 2701
一、证书类型介绍 client certificate 用于通过服务器验证客户端。例如etcdctl,etcd proxy,fleetctl或docker客户端。 server certificate 由服务器使用,并由客户端验证服务器身份。例如docker服务器或kube-apiserver。 peer certificate 由 etcd 集群成员使用,供它们彼此之间通信使用。 二、证书生成 1、cfssl 安装 下载 cfssl,命令如下: [root@localhost etcd]#
高可用Kubernetes集群搭建笔记:独立etcd集群与kubeadm安装
但在某些情况下,出于安全和性能考虑,我们可能会选择将etcd集群独立部署在Kubernetes集群之外。这要求更细致地规划网络通信、安全认证和数据备份策略。 7. Linux系统知识 Linux系统是Kubernetes集群的运行基础。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值