云原生之Kubernetes:4、Kubernetes证书管理和资源类型

已于 2022-08-23 15:11:46 修改
阅读量384 收藏 2
点赞数 1
分类专栏: 云原生 # Kubernetes 文章标签: kubernetes 云原生 docker
于 2022-08-17 21:44:04 首次发布
LQ@fenglq.com
本文链接:https://blog.csdn.net/flq18210105507/article/details/126394368
版权

文章目录

本章节带你了解到https的kubernetes集群中所需的证书及其作用,以及kubernetes语境内的api资源类型。

1.证书管理

在这里插入图片描述

k8s于生产环境运行时,我强烈建议大家运行在https的安全环境下,其证书可分为以下三个大类:

1、root CA

1.apiserver:apiserver自己的证书
2.apiserver-kubelet-client:kubelet客户端连接apiserver时的客户端证书

2.etcd CA

1.etcd-server:etcd服务端证书
2.etcd-peer:etcd对等证书,用于etcd集群间https通信
3.etcd-healthcheck-client:etcd健康检查的客户端证书
4.apiserver-etcd-client:apiserver连接etcd的客户端证书

3.front-proxy CA

1.front-proxyserver-client:apiserver(中的聚合器aggregator)于前端的客户端证书

你需要注意的是:
1) k8s集群证书默认有效期是90天,你有2个办法去调整(修改go源文件或者证书签名请求生成时声明,如何修改我后面章节会说)
2) 证书的过期时间,你可以到/etc/kubernetes/pki目录下,使用以下命令进行查看:

openssl x509 -in front-proxy-client.crt   -noout -text  |grep Not
Not Before: Nov 28 09:07:02 2021 GMT
Not After : Nov 25 09:07:03 2021 GMT
openssl x509 -in apiserver.crt   -noout -text  |grep Not
Not Before: Nov 28 09:07:04 2021 GMT
Not After : Nov 25 09:07:04 2028 GMT

2.API资源模型

RESTfulAPI的核心组件是“资源(resource)”,不同类别的事物会被抽象会不同“类型(type)”的资源。

k8s中的资源也类似于对象式编程语言中的“类"(class),但它仅支持有限的方法,而且通常是标准的HTTP方法

例如:GET、PUT、POST和DELETE

此时,你应该可以联想到常用的基础命令kubelet:

kubectl get pod
kubectl delete node

1.为了便于独立进行版本演进,Kubernetes将API划分为“API群组”的逻辑集合,每个群组的REST路径为“/apis/ G R O U P N A M E / GROUP_NAME/ GROUPNAME/VERSION” ,例如/apis/apps/v1;
2.核心群组core使用简化的REST路径/api/v1;
3.同时,每个群组可同时存在多个不同级别的版本,主要包括alpha、beta和stable三个,使用的级别标识如v1alpha1、v1beta2和v1等。

你可以通过api-versions命令查询当前集群所支持的API版本:

[root@k8s-etcd-mater01 cds-filesystem]# kubectl api-versions
admissionregistration.k8s.io/v1beta1
apiextensions.k8s.io/v1beta1
apiregistration.k8s.io/v1
apiregistration.k8s.io/v1beta1
apps/v1
apps/v1beta1
apps/v1beta2
authentication.k8s.io/v1
authentication.k8s.io/v1beta1
authorization.k8s.io/v1
authorization.k8s.io/v1beta1
autoscaling/v1
autoscaling/v2beta1
autoscaling/v2beta2
batch/v1
batch/v1beta1
certificates.k8s.io/v1beta1
coordination.k8s.io/v1beta1
events.k8s.io/v1beta1
extensions/v1beta1
networking.k8s.io/v1
policy/v1beta1
rbac.authorization.k8s.io/v1
rbac.authorization.k8s.io/v1beta1
scheduling.k8s.io/v1beta1
storage.k8s.io/v1
storage.k8s.io/v1beta1
v1

3.API资源类型

在这里插入图片描述

如图所示,Kubernetes系统把管理的绝大多数事物都抽象成了资源,它们分别代表着不同的事物类型,例如:Node、Service、Pod、Controller等等

1、每种类型均可通过“属性赋值”进行实例化,从而构建出“对象(object);
2、对象主要用于描述要在集群中运行的“应用程序(Pod)”,以及应用程序相关的控制(controllers)、配置(ConfigMap和Secret)、服务暴露(Service和Ingress)、存储(Volume)等;
3、用户使用这些对象来规划、部署、配置、维护和监控应用程序并记录运行日志;
4、每种类型的资源对象都支持相应的一组方法(管理操作),它们可用标准的HTTP Verb进行表示,例如:GET、PUT、DELETE和POST等。

4.命令补充

大家可以在已有的k8s集群中进行下列操作,提升记忆和动手能力

查看集群资源列表:

kubectl  api-resources

查看命名空间:

kubectl  get ns

查看kube-system命名空间中的pod容器资源:

kubectl get pod -n kube-system
湫一刀
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
cert-manager:Kubernetes的自动TLS证书管理器-开源
04-25
证书管理器建立在Kubernetes之上,在Kubernetes API中引入了证书颁发机构和证书作为一流的资源类型。 这样就可以为在您的Kubernetes集群中工作的开发人员提供``证书即服务''。 支持流行的CA类型。 开箱即用的证书...
4.证书管理资源类型
LQ的博客
03-31 171
4.入门篇:不能说的秘密:证书管理资源类型 通过本章节的学习,你可以充分了解到一个https的kubernetes集群中所需的证书及其作用,以及kubernetes语境内的api资源类型,最后我还补充了几个基础的GET命令,此时你可以登录到上一章节我们使用kubeadm创建的集群,进行一些基础的查询操作了 1.证书管理 k8s于生产环境运行时,我强烈建议大家运行在https的安全环境下,其证书...
K8S各种各样的证书介绍
Vic的博客
10-28 3132
例如,所有etcd server证书需要是同一个CA签署的,所有的etcd peer证书也需要是同一个CA签署的,而一个etcd server证书和一个etcd peer证书,完全可以是两个CA机构签署的,彼此没有任何关系。其实实际上,使用一套证书(都使用一套CA来签署)一样可以搭建出K8S,一样可以上生产,但是理清这些证书的关系,在遇到因为证书错误,请求被拒绝的现象的时候,不至于无从下手,而且如果没有搞清证书之间的关系,在维护或者解决问题的时候,贸然更换了证书,弄不好会把整个系统搞瘫。
Kubernetes(k8s)中的一些常见的资源类型及组件
最新发布
2301_80444366的博客
06-28 626
DaemonSet 确保全部(或者一些) Node上运行一个 Pod 的副本,当有 Node 加入集群时,也会为他们新增一个 Pod,当有 Node 从集群移除时,这些 Pod 也会被回收。当 Service 需要将流量转发给后端 Pod 时,它会查询与之关联的 Endpoint 对象,从中获取后端 Pod 的 IP 地址和端口信息。将程序运行内存中的数据类型(int,float,string,list,dict,object)转换为String(字符串)文件类型,方便数据的传输和存储。
应势而生,CSDN云原生工程师能力认证官宣
CSDN能力认证官方博客
03-31 6230
应势而生,C站(CSDN)云原生工程师能力认证启航!
kubernetes 证书详解
Vic的博客
10-28 417
类型CACN认证描述官方Etcd对外提供服务kube-etcd节点相互通信的证书clientpod中Liveness探针客户端证书k8sca.crt,keysa.pub,key服务帐户密钥serverapiserver 证书clientkubelet证书clientapiserver访问etcd的证书client用于前端代理。
云原生Docker 安全与CA证书生成
X2683933654的博客
02-21 1733
注:由于 20.10.9 版本的 docker 客户端用的 go 版本是 go1.16.8,而 go1.15 以后的版本不支持私有 CA 生成的证书,所以这里 docker 客户端仍使用 docker-ce-cli-20.10.5-3.el7.x86_64 安装的版本。容器的安全性问题的根源在于容器和宿主机共享内核。尽量以资源限制的方式运行容器 -m --memory-swap --cpu-quota --cpu-shares --cpuset-cpus --device-write-bps。
kubernetesKubernetes,从初学者到专家
03-04
Kubernetes是当今最流行的容器编排系统,用于自动化部署、扩展和管理容器化应用程序。它由Google发起,并在CNCF(云原生计算基金会)的主持下成为开源项目。本篇文章将深入探讨Kubernetes,帮助初学者逐步掌握这个...
【Cloud Native Lives】Kubernetes管理员实训 第1课:CKA考纲与K8S基础概念解读-v0.21
08-03
【Cloud Native Lives】Kubernetes管理员实训课程旨在帮助学员深入理解Kubernetes(K8S)的基础概念及运维...通过这些全面的实训和理论学习,学员将能够熟练地管理和维护Kubernetes集群,应对复杂的云原生环境挑战。
云原生k8s集群中部署微服务项目前端代理服务 Nginx
09-22
云原生环境中,Kubernetes(简称k8s)已成为管理容器化应用的标准平台,而微服务架构则是现代软件开发的主流方式。Nginx作为一款高性能的HTTP和反向代理服务器,常被用于微服务项目的前端代理服务,提供负载均衡、...
kubernetes-playground:用于使用Vagrant和Ansible创建独立的Kubernetes集群的脚本
02-06
在IT行业中,Kubernetes(简称K8s)已经成为容器编排的事实标准,它允许开发者轻松地管理和部署...通过这个项目,你可以动手搭建一个本地的 Kubernetes 集群,从而加深对容器编排的理解,提升在云原生环境下的技能。
【博客535】k8s证书原理:各类证书作用
qq_43684922的博客
11-13 2797
我们其实可以使用多个不同的 CA 来颁发这些证书。只要在通信的组件中正确配置用于验证对方证书的 CA 根证书,就可以使用不同的 CA 来颁发不同用途的证书。但我们一般建议采用统一的 CA 来颁发 kubernetes 集群中的所有证书,这是因为采用一个集群根 CA 的方式比采用多个 CA 的方式更容易管理,可以避免多个CA 导致的复杂的证书配置、更新等问题,减少由于证书配置错误导致的集群故障。
kubernetes1.8.4安装指南 -- 5. 证书生成
陈海峰的博客
12-11 1998
下载cfssl cd /usr/local/src/ wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o cfssl wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o cfssljson wget https://pkg.cfssl.org/R1.2/cfssl
k8s资源类型详解
热门推荐
weixin_47019016的博客
12-20 1万+
k8s资源类型一、k8s资源类型简介二、deployment资源类型三、service资源类型四、k8s资源的回滚操作五、用label控制pod的位置六、namespace简介七、pod资源类型八、健康检测的相关应用九、ReplicaSet的相关介绍十、DaemonSet资源类型十一、job资源对象十二、CronJob资源类型 一、k8s资源类型简介 Deployment、Service、Pod是k8s最核心的3个资源对象。 Deployment:最常见的无状态应用的控制器,支持应用的扩缩容、滚动更新等操作
二进制安装kubernetes 1.24.1
老段工作室
06-24 962
二进制安装kubernetes v1.24.1
Kubernetes的核心资源类型
DK的博客
12-06 631
依据资源的主要功能作为分类标准,Kubernetes的API对象大体可分为工作负载(Workload)、发现和负载均衡(Discovery & LB)、配置和存储(Config & Storage)、集群(Cluster)和元数据(Metadata)几个类别。它们基本都是围绕一个核心目的而设计:如何更好地运行和丰富Pod资源,从而为容器化应用提供更灵活和更完善的操作与管理组件。 工作负载型资源用于确保Pod资源对象更好地运行容器化应用,具有同一种负载的各Pod对象需要以“负载均衡”的方式服
k8s中cert-manager管理https证书
椰汁菠萝
02-02 1003
目前https是刚需,但证书又很贵,虽然阿里云有免费的,但没有泛域名证书,每有一个子域名就要申请一个证书,有效期1年,1年一到全都的更换,太麻烦了。经过搜索,发现了自动更新证书神器;当然cert-manager是基于k8s的。
Kubernets 资源类型简介
weixin_30389003的博客
03-06 109
# Node 代表 Kubernets 集群运行的宿主物理机或者虚拟服务器, 为容器提供必要的计算资源: 内存 与 CPU 等. # Pod 最底层的抽象. 一个 Pod 中可以包含一个或者多个运行的容器, 这些容器运行在同一个 Node 上, 并共享次 Node 的资源. 在同一个 Pod 中的容器, 可以相互通过 localhost 的方式通信, 这样就可以以集群与可扩展方式运行一个应用提供...
etcd TLS集群
正宗文于
10-11 619
概述 etcd集群默认情况下使用明文互相通讯,在某些场景下不安全,etcd走的都是HTTP协议,当然可以使用TLS/SSL方式加密通讯。 etcd集群用到三个证书: client证书:用于客户端程序,如etcdctl连接 server证书:服务器证书,验证客户端身份 peer证书: 集群成员直接通讯使用 证书的X509v3 extensions信息部分,X509v3 Extended Key Usage表示证书的用途。 server证书"server auth",client证书"cl
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

湫一刀

希望大家多多支持

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值