Kubernetes多master部署(2)---证书制作

最新推荐文章于 2022-12-14 16:17:05 发布
最新推荐文章于 2022-12-14 16:17:05 发布
阅读量114 收藏
点赞数
文章标签: json
原文链接:http://www.cnblogs.com/litzhiai/p/10813877.html
版权

 在master01(10.50.182.65)操作:

#安装证书生成工具cfssl      

mkdir -p  /opt/ssl

cd /opt/ssl
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x *
mv cfssl_linux-amd64 /usr/local/bin/cfssl
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
mv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo

  

   

证书脚本 certificate.sh:

  其中hosts地址要根据实际使用地址进行调整,内网网段也要加进去,其余不用动。

#证书根机构
cat > ca-config.json <<EOF
{
"signing": {
"default": {
"expiry": "87600h"
},
"profiles": {
"kubernetes": {
"expiry": "87600h",
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
]
}
}
}
}
EOF

#生成根证书的具体信息
cat > ca-csr.json <<EOF
{
"CN": "kubernetes",
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"L": "hangzhou",
"ST": "hangzhou",
"O": "k8s",
"OU": "System"
}
]
}
EOF

#用cfssl生成证书

cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

#-----------------------

#用于api http通信的证书信息
cat > server-csr.json <<EOF
{
"CN": "kubernetes",
"hosts": [
"127.0.0.1",
"10.50.182.65",
"10.50.182.66",
"10.50.182.67",
"10.50.182.69",
"10.10.10.1",
"kubernetes",
"kubernetes.default",
"kubernetes.default.svc",
"kubernetes.default.svc.cluster",
"kubernetes.default.svc.cluster.local"
],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"L": "BeiJing",
"ST": "BeiJing",
"O": "k8s",
"OU": "System"
}
]
}
EOF

#生成server证书
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes server-csr.json | cfssljson -bare server

#-----------------------

#集群管理员证书,权限
cat > admin-csr.json <<EOF
{
"CN": "admin",
"hosts": [],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"L": "BeiJing",
"ST": "BeiJing",
"O": "system:masters",
"OU": "System"
}
]
}
EOF

#生成管理员证书
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin

#-----------------------

#关于网络策略的证书
cat > kube-proxy-csr.json <<EOF
{
"CN": "system:kube-proxy",
"hosts": [],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"L": "BeiJing",
"ST": "BeiJing",
"O": "k8s",
"OU": "System"
}
]
}
EOF

#生成网络策略证书
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy

cp server* ca* /opt/kubernetes/ssl/

 

转载于:https://www.cnblogs.com/litzhiai/p/10813877.html

de0414
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kubernetes多主Master方式部署
嗡汤圆的博客
03-28 1万+
背景 Kubernetes初学,在集群上测试部署了一套Kuberntes的单Master版本,并在其中部署了我们的一整套微服务,测试环境平稳运行了几个月,期间有些Worker节点也偶尔挂了几次,都没有影响到服务的正常运行,都能快速进行故障迁移,算是尝到了一点甜头。但是在今年年初Master节点由于内存不足出现了故障,却使整个微服务无法正常运作造成的影响巨大。 这于之前了解到的情况,即:“maste...
kubernetes-----部署master的二进制集群
qq_42761527的博客
04-29 837
一.实验环境分析 角色 IP地址 系统与资源 相关组件 master 192.168.43.101/24 centos7.4(2C 2G) kube-apiserver kube-controller-manager kube-scheduler etcd master2 192.168.43.104/24 centos7.4(2C 2G)...
k8s master证书更新
陈苏漾的IT生涯
12-07 769
K8S证书过期问题
004.Kubernetes二进制部署创建证书
cnmeimei的博客
01-10 255
一 创建CA证书和密钥 1.1 安装cfssl工具集 1 [root@k8smaster01 ~]# mkdir -p /opt/k8s/cert 2 3 [root@k8smaster01 ~]# curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /opt/k8s/bin/cfssl #下载cfssl软件 4 [root@k8smaster01 ~]# curl -L https://pkg.cfssl.org/R1...
k8s master证书过期修复
樛木南雨
09-14 635
版本信息 该方案在kubernetes 1.12.5下验证有效,其他版本可能会略有不同,但基本原理相似。 故障现象 使用kubeadm部署的集群,默认根证书有效期是10年,其余证书的有效期为1年。当证书到期之后,k8s各核心组件之间的交互和协作会因为证书验证失效到时失败,从而导致k8s集群不可用。 故障排查和验证 故障排查 查看k8s各组件的日志会发现ssl认证错误信息。 故障验证 通过openssl x509 -in [证书名称] -noout -text命令能够查看证书的相关信息,从而确定是否证书到期:
kubernetes(1.23)证书过期如何续期
老段工作室
04-27 2680
通过kubeadm安装的kubernetes集群各个组件所使用证书的期限为1年,本实验练习的是到期之后如何续期。
Kubernetes集群更换证书(正常更新方法、和更新证书为99年)
最新发布
m0_59308369的博客
12-14 7023
今天使用k8s集群发现报错。查看kubelet状态,发现无法启动, 查看docker服务,发现api-server也没用启动enabled;3s ago查看日志 ,发现报错找不到 bootstrap-kubelet.conf。
kubernetes手工部署----web页面的部署
下一个艺术家
01-24 705
kubernetes手工部署----web页面的部署
Kubernetes-----单节点部署(完整版)
m0_50854537的博客
03-23 1367
文章目录实验环境一、master01制作证书二、node01/02节点操作三、docker安装四、flannel网络配置五、部署master组件六、node节点部署七、node02节点部署单节点部署完成 实验环境 主机名 操作系统 IP地址 所需软件 master01 centos7 20.0.0.11 kube-apiserver kube-controller-manager kube-scheduler etcd node01 centos7 20.0.0.12 kubelet k
kubernetes二进制集群部署——–多master集群(步骤非常详细,适合初学者)
01-09
3. **制作master2的ETCD证书**:为master2创建新的ETCD客户端和服务端证书,确保它可以安全地与ETCD集群通信。 4. **启动master2的三个组件**:分别启动kube-apiserver、kube-controller-manager和kube-scheduler,...
Kubernetes单节点集群部署----etcd数据库
XuMin6的博客
04-29 465
Kubernetes单节点集群部署----etcd数据库 一:介绍etcd ​ etcd是一个采用HTTP协议的健/值对存储系统,它是一个分布式和功能层次配置系统,可用于构建服务发现系统、用于共享配置和服务发现。提供了可靠的数据持久化特性,是安全的并且文档也十分齐全。由GO语言实现。 1、etcd主要提供的能力 提供存储以及获取数据的接口,它通过协议保证 Etcd 集群中的多个节点数...
K8S各种各样的证书介绍
Vic的博客
10-28 3168
例如,所有etcd server证书需要是同一个CA签署的,所有的etcd peer证书也需要是同一个CA签署的,而一个etcd server证书和一个etcd peer证书,完全可以是两个CA机构签署的,彼此没有任何关系。其实实际上,使用一套证书(都使用一套CA来签署)一样可以搭建出K8S,一样可以上生产,但是理清这些证书的关系,在遇到因为证书错误,请求被拒绝的现象的时候,不至于无从下手,而且如果没有搞清证书之间的关系,在维护或者解决问题的时候,贸然更换了证书,弄不好会把整个系统搞瘫。
【k8s】单master到多master平滑升级
weixin_45066823的博客
08-30 1931
由于单master节点用于线上环境发生故障时会导致集群整个不可用,生产环境中有很大风险所以要把集群升级为多master模式,其中任何一个节点宕机都不影响集群正常运行。将 kube-system 中的 kubeadm-config 配置导出,并修改配置。因为被删除的节点不是很“干净”,所以还需要把/etc/kubernets下的内容移除。根据上面操作的信息屏凑一个加入主节点的命令,在新加入的2个主节点执行。修改kubeadm-config中api-server地址。发现新的证书已经更新的。.........
k8s学习笔记-证书详解
weixin_30321449的博客
06-18 1183
在进行二进制搭建K8S集群前,我们需要梳理最磨人的一个点,就是各种各样的证书。 官方文档参考:https://kubernetes.io/docs/setup/certificates/ 一共有多少证书: 先从Etcd算起: 1、Etcd对外提供服务,要有一套etcdserver证书 2、Etcd各节点之间进行通信,要有一套etcdpeer证书 3、Kube-APIserver访问...
k8s证书更新
kali_yao的博客
02-21 6748
1.故障现象 k8s安装一年后证书显示过期。证书未自动续期。 2.更新过程 一下操作需到所有master节点操作 下载kubeadm 一般情况下,k8s创建的集群节点上的/usr/bin/文件夹下会存在kubeadm二进制文件,如果发现master节点上没有kubeadm,可以从官方下载。以amd64架构1.16.9版本的kubeadm为例子,可以通过curl -L --remote-name-all https://storage.googleapis.com/kubernetes-r
使用kubeadm部署master k8s集群部署
热门推荐
kismile
09-09 1万+
机器初始化,相关参数 在master机器上安装cfssl工具 配置ca根证书 生成client,客户端证书 生成peer 和server的证书(etcd使用) 证书相关注意事项 systemd 方式运行 etcd 配置kubelet 初始化节点master1 安装kubetnetes集群 注意初始化集群完后的操作: 安装flannel网络 初始化节点master节点[2,3] 使用k...
k8s认证
wasd12121212的博客
10-17 939
RBAC可以设置subject:user,group和serviceaccount. user不是k8s管理的,可以通过具体的服务进行管理。对应k8s中就是secret。 serviceaccount是通过k8s管理的。就是每个pod访问api server的权限。   api启动参数分为--client的各种crt,key kubelete各种证书,tls(api srever自己用于客...
Kubernetes安装之证书验证
Kubernetes中文社区
05-08 5577
前言 昨晚(Apr 9,2017)金山软件的opsnull发布了一个开源项目和我一步步部署kubernetes集群,下文是结合我之前部署kubernetes的过程打造的kubernetes环境和opsnull的文章创建 kubernetes 各组件 TLS 加密通信的证书和秘钥的实践。之前安装过程中一直使用的是非加密方式,一直到后来使用Fluentd和ElasticSearch收集Kub
Kubernetes企业集群部署实战教程-网盘资源
2. **集群搭建**:学习如何从零开始搭建一个稳定可靠的Kubernetes集群,包括Master节点和Worker节点的配置,网络策略,以及使用工具如kubeadm进行初始化设置。 3. **应用部署**:通过实际案例,教授如何将公司的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值