Etcd教程 — 第四章 Etcd集群安全配置_etcd 集群配置

于 2024-09-10 15:53:41 发布
阅读量683 收藏 19
点赞数 14
文章标签: etcd 安全 数据库 网络 服务器 linux ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/heike_Ch/article/details/142101338
版权
2.2 下载 cfssl

/usr/local/src 下载

cd /usr/local/src



wget https://github.com/cloudflare/cfssl/releases/download/v1.6.1/cfssl_1.6.1_linux_amd64

wget https://github.com/cloudflare/cfssl/releases/download/v1.6.1/cfssljson_1.6.1_linux_amd64

wget https://github.com/cloudflare/cfssl/releases/download/v1.6.1/cfssl-certinfo_1.6.1_linux_amd64

#拷贝文件到/usr/local/bin/目录下

cp cfssl_1.6.1_linux_amd64 /usr/local/bin/cfssl

cp cfssljson_1.6.1_linux_amd64 /usr/local/bin/cfssljson

cp cfssl-certinfo_1.6.1_linux_amd64 /usr/local/bin/cfssl-certinfo
2.3 赋予执行权限
chmod +x /usr/local/bin/cfssl*
2.4 查看安装结果
cfssl version

结果:

[root@etcd01 src]# cfssl version
Version: 1.6.1
Runtime: go1.12.12

3 TLS 加密实践

3.1 介绍

client certificate: 用于服务端认证客户端,例如etcdctl、etcd proxy、fleetctl、docker客户端。
server certificate: 服务端使用,客户端以此验证服务端身份,例如docker服务端、kube-apiserver。
peer certificate: 双向证书,用于etcd集群成员间通信。

3.2 配置CA并创建TLS证书

仅需要在单个节点上生成相关证书即可,然后再把证书复制到其他节点上。

3.2.1 创建ca配置文件 (ca-config.json)

"ca-config.json":可以定义多个 profiles,分别指定不同的过期时间、使用场景等参数;后续在签名证书时使用某个 profile;

"signing":表示该证书可用于签名其它证书;生成的 ca.pem 证书中 CA=TRUE;

"server auth":表示client可以用该 CA 对server提供的证书进行验证;

"client auth":表示server可以用该CA对client提供的证书进行验证;

/opt/cfssl/ 下创建配置文件

vim ca-config.json

{
    "signing": {
        "default": {
            "expiry": "87600h"
        },
        "profiles": {
            "etcd": {
                "expiry": "87600h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth",
                    "client auth"
                ]
            }
        }
    }
}
3.2.2 创建ca证书签名(ca-csr.json)

“CN”:Common Name,从证书中提取该字段作为请求的用户名 (User Name);浏览器使用该字段验证网站是否合法;
“O”:Organization,从证书中提取该字段作为请求用户所属的组 (Group);
这两个参数在后面的kubernetes启用RBAC模式中很重要,因为需要设置kubelet、admin等角色权限,那么在配置证书的时候就必须配置对了,具体后面在部署kubernetes的时候会进行讲解。
“在etcd这两个参数没太大的重要意义,跟着配置就好。”

创建配置文件

vim ca-csr.json

{
    "CN": "etcd CA",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "shanghai",
            "ST": "shanghai"
        }
    ]
}
3.2.3 生成ca证书和私钥
cfssl gencert -initca ca-csr.json | cfssljson -bare ca



ls
ca-config.json  ca-csr.json ca.csr ca.pem(ca公钥) ca-key.pem(ca私钥,妥善保管)
3.3 生成etcd server端证书
3.3.1 新建ca配置文件 (server-csr.json)

vim server-csr.json

{
    "CN": "etcd",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "hosts": [
    "192.168.1.221",
    "192.168.1.222",
    "192.168.1.223"
    ],
    "names": [
        {
            "C": "CN",
            "L": "shanghai",
            "ST": "shanghai"
        }
    ]
}
3.3.2 生成etcd server证书和私钥
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=etcd server-csr.json | cfssljson -bare server



ls
ca-config.json  ca-csr.json  ca-key.pem  ca.csr  ca.pem  server-csr.json  server-key.pem  server.csr  server.pem
3.4 复制证书到另外两台主机

将证书放到其他节点的同个位置上。

4 Etcd集群加入TLS证书

4.1 Etcd集群各节点信息

在这里插入图片描述

4.2 Etcd集群各节点配置

编辑各节点上的配置文件

vim /etc/etcd/etcd.conf

加入TLS证书的配置

# [Security]
ETCD\_TRUSTED\_CA\_FILE="/opt/cfssl/ca.pem"
ETCD\_CERT\_FILE="/opt/cfssl/server.pem"
ETCD\_KEY\_FILE="/opt/cfssl/server-key.pem"
ETCD\_PEER\_TRUSTED\_CA\_FILE="/opt/cfssl/ca.pem"
ETCD\_PEER\_CERT\_FILE="/opt/cfssl/server.pem"
ETCD\_PEER\_KEY\_FILE="/opt/cfssl/server-key.pem"

ETCD\_CLIENT\_CERT\_AUTH="true"
ETCD\_AUTO\_TLS="true"
ETCD\_PEER\_CLIENT\_CERT\_AUTH="true"
ETCD\_PEER\_AUTO\_TLS="true"
4.2.1 节点1完整配置
#########################################################
########### 请根据各节点服务器实际情况修改配置 ############
#########################################################
#[Member]
#1.节点名称,必须唯一
ETCD\_NAME="etcd01"
 
#2.设置数据保存的目录
ETCD\_DATA\_DIR="/var/lib/etcd"
 
#3.本节点机器用于监听其他节点的url,url是本机上的2380
ETCD\_LISTEN\_PEER\_URLS="http://192.168.1.221:2380"
 
#4.建议本节点用于和其他节点之间通信的url,且会通告集群的其余成员节点
ETCD\_INITIAL\_ADVERTISE\_PEER\_URLS="http://192.168.1.221:2380"

#5.本节点机器用于和客户端通信的url,url是本机上的 2379
ETCD\_LISTEN\_CLIENT\_URLS="http://192.168.1.221:2379,http://127.0.0.1:2379"
 
#[Clustering]
#6.建议本节点和客户端通信使用的url
ETCD\_ADVERTISE\_CLIENT\_URLS="http://192.168.1.221:2379"
 
#7.集群中所有节点的信息
ETCD\_INITIAL\_CLUSTER="etcd01=http://192.168.1.221:2380,etcd02=http://192.168.1.222:2380,etcd03=http://192.168.1.223:2380"
 
#8.创建集群的token,这个值每个集群均相同
ETCD\_INITIAL\_CLUSTER\_TOKEN="148e7b13-51fc-4cc8-965b-a7c9d58c18f5"
 
#9.初始集群状态,新建集群的时候,这个值为new,后续再启动时需要将“new”更改为“existing”
ETCD\_INITIAL\_CLUSTER\_STATE="new"
 
#10.flannel操作etcd使用的是v2的API,而kubernetes操作etcd使用的v3的API
# 为了兼容flannel,将默认开启v2版本,故配置文件中设置 
ETCD\_ENABLE\_V2="true"

# [Security]
ETCD\_TRUSTED\_CA\_FILE="/opt/cfssl/ca.pem"
ETCD\_CERT\_FILE="/opt/cfssl/server.pem"
ETCD\_KEY\_FILE="/opt/cfssl/server-key.pem"
ETCD\_PEER\_TRUSTED\_CA\_FILE="/opt/cfssl/ca.pem"
ETCD\_PEER\_CERT\_FILE="/opt/cfssl/server.pem"
ETCD\_PEER\_KEY\_FILE="/opt/cfssl/server-key.pem"

ETCD\_CLIENT\_CERT\_AUTH="true"
ETCD\_AUTO\_TLS="true"
ETCD\_PEER\_CLIENT\_CERT\_AUTH="true"
ETCD\_PEER\_AUTO\_TLS="true"
4.2.2 节点2完整配置
#########################################################
########### 请根据各节点服务器实际情况修改配置 ############
#########################################################
#[Member]
#1.节点名称,必须唯一
ETCD\_NAME="etcd02"
 
#2.设置数据保存的目录
ETCD\_DATA\_DIR="/var/lib/etcd"
 
#3.本节点机器用于监听其他节点的url,url是本机上的2380
ETCD\_LISTEN\_PEER\_URLS="http://192.168.1.222:2380"
 
#4.建议本节点用于和其他节点之间通信的url,且会通告集群的其余成员节点
ETCD\_INITIAL\_ADVERTISE\_PEER\_URLS="http://192.168.1.222:2380"

#5.本节点机器用于和客户端通信的url,url是本机上的 2379
ETCD\_LISTEN\_CLIENT\_URLS="http://192.168.1.222:2379,http://127.0.0.1:2379"
 
#[Clustering]
#6.建议本节点和客户端通信使用的url
ETCD\_ADVERTISE\_CLIENT\_URLS="http://192.168.1.222:2379"
 
#7.集群中所有节点的信息
ETCD\_INITIAL\_CLUSTER="etcd01=http://192.168.1.221:2380,etcd02=http://192.168.1.222:2380,etcd03=http://192.168.1.223:2380"
 
#8.创建集群的token,这个值每个集群均相同
ETCD\_INITIAL\_CLUSTER\_TOKEN="148e7b13-51fc-4cc8-965b-a7c9d58c18f5"
 
#9.初始集群状态,新建集群的时候,这个值为new,后续再启动时需要将“new”更改为“existing”
ETCD\_INITIAL\_CLUSTER\_STATE="new"
 
#10.flannel操作etcd使用的是v2的API,而kubernetes操作etcd使用的v3的API
# 为了兼容flannel,将默认开启v2版本,故配置文件中设置 
ETCD\_ENABLE\_V2="true"

# [Security]
ETCD\_TRUSTED\_CA\_FILE="/opt/cfssl/ca.pem"
ETCD\_CERT\_FILE="/opt/cfssl/server.pem"
ETCD\_KEY\_FILE="/opt/cfssl/server-key.pem"
ETCD\_PEER\_TRUSTED\_CA\_FILE="/opt/cfssl/ca.pem"
ETCD\_PEER\_CERT\_FILE="/opt/cfssl/server.pem"
ETCD\_PEER\_KEY\_FILE="/opt/cfssl/server-key.pem"

ETCD\_CLIENT\_CERT\_AUTH="true"
ETCD\_AUTO\_TLS="true"
ETCD\_PEER\_CLIENT\_CERT\_AUTH="true"
ETCD\_PEER\_AUTO\_TLS="true"
4.2.3 节点3完整配置
#########################################################
########### 请根据各节点服务器实际情况修改配置 ############
#########################################################
#[Member]
#1.节点名称,必须唯一
ETCD\_NAME="etcd03"
 
#2.设置数据保存的目录
ETCD\_DATA\_DIR="/var/lib/etcd"
 
#3.本节点机器用于监听其他节点的url,url是本机上的2380
ETCD\_LISTEN\_PEER\_URLS="http://192.168.1.223:2380"
 
#4.建议本节点用于和其他节点之间通信的url,且会通告集群的其余成员节点
ETCD\_INITIAL\_ADVERTISE\_PEER\_URLS="http://192.168.1.223:2380"

#5.本节点机器用于和客户端通信的url,url是本机上的 2379
ETCD\_LISTEN\_CLIENT\_URLS="http://192.168.1.223:2379,http://127.0.0.1:2379"
 
#[Clustering]
#6.建议本节点和客户端通信使用的url
ETCD\_ADVERTISE\_CLIENT\_URLS="http://192.168.1.223:2379"
 
#7.集群中所有节点的信息
ETCD\_INITIAL\_CLUSTER="etcd01=http://192.168.1.221:2380,etcd02=http://192.168.1.222:2380,etcd03=http://192.168.1.223:2380"
 
#8.创建集群的token,这个值每个集群均相同
ETCD\_INITIAL\_CLUSTER\_TOKEN="148e7b13-51fc-4cc8-965b-a7c9d58c18f5"
 
#9.初始集群状态,新建集群的时候,这个值为new,后续再启动时需要将“new”更改为“existing”
ETCD\_INITIAL\_CLUSTER\_STATE="new"
 
#10.flannel操作etcd使用的是v2的API,而kubernetes操作etcd使用的v3的API
# 为了兼容flannel,将默认开启v2版本,故配置文件中设置 
ETCD\_ENABLE\_V2="true"

# [Security]
ETCD\_TRUSTED\_CA\_FILE="/opt/cfssl/ca.pem"
ETCD\_CERT\_FILE="/opt/cfssl/server.pem"
ETCD\_KEY\_FILE="/opt/cfssl/server-key.pem"
ETCD\_PEER\_TRUSTED\_CA\_FILE="/opt/cfssl/ca.pem"
ETCD\_PEER\_CERT\_FILE="/opt/cfssl/server.pem"
ETCD\_PEER\_KEY\_FILE="/opt/cfssl/server-key.pem"

ETCD\_CLIENT\_CERT\_AUTH="true"
ETCD\_AUTO\_TLS="true"
ETCD\_PEER\_CLIENT\_CERT\_AUTH="true"
ETCD\_PEER\_AUTO\_TLS="true"
4.3 清除旧数据

修改各节点/etc/etcd/etcd.conf文件后,要先删除/var/lib/etcd目录下保存的数据。

cd /var/lib/etcd && rm -rf *

注意:删除后需要加入权限,否则在启动时可能会失败,报错原因是没有权限

{“level”:“warn”,“ts”:1656209184.8809907,“caller”:“fileutil/fileutil.go:57”,“msg”:“check file permission”,“error”:“directory “/var/lib/etcd” exist, but the permission is “drwxr-xr-x”. The recommended permission is “-rwx------” to prevent possible unprivileged access to the data”}

chmod 700 /var/lib/etcd/ -R
4.4 启动/查看etcd服务
systemctl daemon-reload && systemctl enable etcd && systemctl start etcd && systemctl status etcd

启动结果:
在这里插入图片描述

4.5 停止/重启:
systemctl stop etcd
systemctl restart etcd
4.6 验证

通过三台服务器的控制台可以知道,集群已经成功建立,我们进行验证:

4.6.1 命令中不加入证书配置

查看集群健康状态:

etcdctl endpoint health

显示结果:

127.0.0.1:2379 is healthy: successfully committed proposal: took = 18.521778ms

查看集群成员:

etcdctl member list

显示结果:

3f165fc003d39e4, started, etcd02, http://192.168.1.222:2380, http://192.168.1.222:2379, false
5d2b35506710acb7, started, etcd03, http://192.168.1.223:2380, http://192.168.1.223:2379, false
803d149841581109, started, etcd01, http://192.168.1.221:2380, http://192.168.1.221:2379, false

写操作:

[root@etcd01 etcd]# etcdctl put hello world
OK

读操作:

[root@etcd01 etcd]# etcdctl get hello
hello
world

本节点上进行的写操作,也能在其他节点上使用读操作查看到写入的信息。

4.6.2 命令中加入证书配置【待定】

查看集群健康状态:

etcdctl --cacert=/opt/cfssl/ca.pem --cert=/opt/cfssl/server.pem --key=/opt/cfssl/server-key.pem --endpoints="https://192.168.1.221:2379,https://192.168.1.222:2379,https://192.168.1.223:2379"  endpoint health

# 会报错,暂未找到解决办法,可能目前的版本再查看集群健康状态时不需要加入证书配置【个人观点】:
{"level":"warn","ts":"2022-06-26T19:41:35.534+0800","logger":"client","caller":"v3/retry\_interceptor.go:62","msg":"retrying of unary invoker failed","target":"etcd-endpoints://0xc0002db340/192.168.1.222:2379","attempt":0,"error":"rpc error: code = DeadlineExceeded desc = latest balancer error: last connection error: connection error: desc = \"transport: authentication handshake failed: EOF\""}
{"level":"warn","ts":"2022-06-26T19:41:35.534+0800","logger":"client","caller":"v3/retry\_interceptor.go:62","msg":"retrying of unary invoker failed","target":"etcd-endpoints://0xc0002dafc0/192.168.1.223:2379","attempt":0,"error":"rpc error: code = DeadlineExceeded desc = latest balancer error: last connection error: connection error: desc = \"transport: authentication handshake failed: EOF\""}

最后

从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。

干货主要有:

①1000+CTF历届题库(主流和经典的应该都有了)

②CTF技术文档(最全中文版)

③项目源码(四五十个有趣且经典的练手项目及源码)

④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)

⑤ 网络安全学习路线图(告别不入流的学习)

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

扫码领取

heike_沧海
关注
  • 14
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Etcd教程第四章 Etcd集群安全配置_etcd 集群配置(2)
2401_84969310的博客
05-12 1032
,“etcd”: {“signing”,“key”: {},“names”: [“C”: “CN”,lsca-config.json ca-csr.json ca.csr ca.pem(ca公钥) ca-key.pem(ca私钥,妥善保管)“key”: {},“hosts”: [],“names”: [“C”: “CN”,ls加入TLS证书的配置
Etcd教程第四章 Etcd集群安全配置_etcd 集群配置(3)
2401_83947434的博客
04-15 1006
用于服务端认证客户端,例如etcdctl、etcd proxy、fleetctl、docker客户端。: 服务端使用,客户端以此验证服务端身份,例如docker服务端、kube-apiserver。: 双向证书,用于etcd集群成员间通信。
Etcd教程第四章 Etcd集群安全配置_etcd 集群配置(1)
2401_84969291的博客
05-12 634
本文是在 Etcd教程 — 第二章 Etcd集群静态发现 2.3节 基础上进行的。: 用于服务端认证客户端,例如etcdctl、etcd proxy、fleetctl、docker客户端。: 服务端使用,客户端以此验证服务端身份,例如docker服务端、kube-apiserver。: 双向证书,用于etcd集群成员间通信。
Etcd教程第四章 Etcd集群安全配置_etcd 集群配置网络安全开发工程师面试题
2401_83947434的博客
04-15 765
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。这两个参数在后面的kubernetes启用RBAC模式中很重要,因为需要设置kubelet、admin等角色权限,那么在配置证书的时候就必须配置对了,具体后面在部署kubernetes的时候会进行讲解。
Etcd教程第四章 Etcd集群安全配置
Mr_XiMu的博客
06-22 3409
Etcd教程第四章 Etcd集群安全配置
2024年Etcd教程第四章 Etcd集群安全配置_etcd 集群配置(1),2024年最新2024年这些高频面试知识点最后再发一次
2401_84281594的博客
05-10 752
用于服务端认证客户端,例如etcdctl、etcd proxy、fleetctl、docker客户端。: 服务端使用,客户端以此验证服务端身份,例如docker服务端、kube-apiserver。: 双向证书,用于etcd集群成员间通信。
Etcd教程 — 第二章 Etcd集群静态发现
Mr_XiMu的博客
06-06 2906
Etcd教程 — 第二章 Etcd集群静态发现
Etcd教程 — 第三章 Etcd集群动态发现、DNS发现
Mr_XiMu的博客
06-06 2270
Etcd教程 — 第三章 Etcd集群动态发现、DNS发现
Etcd教程 — 第三章 Etcd集群动态发现、DNS发现_etcd 动态发现
m0_60388292的博客
09-05 563
本章操作内容建立在第二章静态发现 ※2.3 多机搭建Etcd集群 基础上Etcd教程 — 第二章 Etcd集群静态发现 ※2.3 多机搭建Etcd集群
Kubernetes集群部署教程-ETCD集群部署
guting18893110463的博客
04-10 1111
Etcd 是一个分布式键值存储系统,Kubernetes使用Etcd进行数据存储,所以先准备一个Etcd数据库,为解决Etcd单点故障,应采用集群方式部署
k8s外接etcd集群服务异常,使用snapshot恢复etcd集群
wenbo885的博客
12-31 1155
2:etcd的数据计划存储在/var/lib/etcd/目录下,所以删除etcd集群中每个节点/var/lib/etcd/目录下的数据,确保/var/lib/etcd/是空目录,或者/var/lib/etcd/是新创建的目录。生产环境中我们为了避免出现误操作或者是服务器硬件出见异常导致宕机,我们的虚拟机或者k8s集群崩溃,所以我们都会创建多节点的高可用集群,包括k8s集群使用外接etcd集群,但有时也可能出现数据丢失,所以经常要备份数据。4:查看服务状态,以及etcd服务是否启动,集群是否正常。
K8S-Demo集群实践04:部署etcd三节点高可用集群
jasonhe2018的博客
01-19 764
K8S-Demo集群实践:部署etcd三节点高可用集群一、下载和分发etcd二进制文件二、配置etcd服务1、准备服务模板2、为每个节点生产服务配置文件3、分发服务配置文件到3个Master节点4、启动Etcd服务三、检查etcd服务状态1、检查etcd服务是否成功启动2、检查etcd服务健康状况3、查看当前Leader节点四、etcdctl命令介绍五、etcd备份和恢复 ETCD 是基于Raft算法的分布式,一致性的KV存储系统,由CoreOS公司发起的一个开源项目,授权协议为Apache。 通过前面环
K8s中如何使用etcd进行集群信息的备份与恢复
舒一笑的博客
09-06 864
这里需要注意一下就是,经过多次尝试之后,默认会存在两个容器的信息,如果后续涉及更新需要将原先旧的信息进行停止和删除,不然容器不能自己重启因为没有位置了。在status 后面跟上备份文件的信息即可,本地备份文件名称是etcd-snapshot.db,所以命令如下,执行这个命令需要在文件所在的目录下。这里需要说明一下的是etcdctl以及在近期的版本中弃用了,所以这边我们采用etcdutl工具进行备份的操作。这里需要说明一下的是,安装好K8s集群之后,在Master节点的机器上是会自带一个etcd服务。
sponge创建的服务与dtm连接使用etcd、consul、nacos进行服务注册与发现
zhuyasen的博客
09-06 1223
sponge 创建的服务与 dtm 之间的连接,并利用 etcd、consul 或 nacos 等注册中心进行服务注册与发现。
【Kubernetes知识点问答题】监控与升级 / ETCD 备份与恢复
Songyaxuan075118的博客
09-06 737
K8s 中常规的维护管理操作 升级 K8s 到新的版本 在升级过程中的注意事项 ETCD 及其备份和恢复的过程 # kubectl describe pod frontend # kubectl logs frontend # kubectl top pod frontend # kubectl top nodes # kubectl cordon host1 # kubectl drain master --ignore-daemonsets
【JAVA】Tomcat性能优化、安全配置、资源控制以及运行模式超详细
A的博客
09-09 1418
nio(new I/O),是Java SE 1.4及后续版本提供的一种新的I/O操作方式(即java.nio包及其子包)。Java nio是一个基于缓冲区、并能提供非阻塞I/O操作的Java API,因此nio也被看成是non-blocking I/O的缩写。
网站安全需求分析与安全保护工程
最新发布
weixin_49171105的博客
09-09 381
网站:是基于B/S技术架构的综合信息服务平台,主要提供网页信息及业务后台对外接口服务。
etcd 3节点集群配置
05-25
etcd 是一个高可用的分布式 key-value 存储系统,可以用于分布式锁、服务发现、共享配置等场景。在使用 etcd 时,为了保证其高可用性,通常需要使用多个节点组成 etcd 集群。以下是配置 etcd 3 节点集群的步骤: 1. 安装 etcd 在每个节点上安装 etcd。具体步骤可以参考 etcd 的官方文档。 2. 修改配置文件 在每个节点上修改 etcd配置文件,一般位于 /etc/etcd/etcd.conf: ``` # Node 1 name: "node1" data-dir: "/var/lib/etcd" listen-peer-urls: "https://192.168.0.1:2380" listen-client-urls: "https://192.168.0.1:2379" initial-advertise-peer-urls: "https://192.168.0.1:2380" advertise-client-urls: "https://192.168.0.1:2379" initial-cluster: "node1=https://192.168.0.1:2380,node2=https://192.168.0.2:2380,node3=https://192.168.0.3:2380" initial-cluster-token: "my-etcd-cluster" initial-cluster-state: "new" client-transport-security: cert-file: "/etc/ssl/etcd/etcd.pem" key-file: "/etc/ssl/etcd/etcd-key.pem" trusted-ca-file: "/etc/ssl/etcd/ca.pem" peer-transport-security: cert-file: "/etc/ssl/etcd/etcd.pem" key-file: "/etc/ssl/etcd/etcd-key.pem" trusted-ca-file: "/etc/ssl/etcd/ca.pem" # Node 2 name: "node2" data-dir: "/var/lib/etcd" listen-peer-urls: "https://192.168.0.2:2380" listen-client-urls: "https://192.168.0.2:2379" initial-advertise-peer-urls: "https://192.168.0.2:2380" advertise-client-urls: "https://192.168.0.2:2379" initial-cluster: "node1=https://192.168.0.1:2380,node2=https://192.168.0.2:2380,node3=https://192.168.0.3:2380" initial-cluster-token: "my-etcd-cluster" initial-cluster-state: "new" client-transport-security: cert-file: "/etc/ssl/etcd/etcd.pem" key-file: "/etc/ssl/etcd/etcd-key.pem" trusted-ca-file: "/etc/ssl/etcd/ca.pem" peer-transport-security: cert-file: "/etc/ssl/etcd/etcd.pem" key-file: "/etc/ssl/etcd/etcd-key.pem" trusted-ca-file: "/etc/ssl/etcd/ca.pem" # Node 3 name: "node3" data-dir: "/var/lib/etcd" listen-peer-urls: "https://192.168.0.3:2380" listen-client-urls: "https://192.168.0.3:2379" initial-advertise-peer-urls: "https://192.168.0.3:2380" advertise-client-urls: "https://192.168.0.3:2379" initial-cluster: "node1=https://192.168.0.1:2380,node2=https://192.168.0.2:2380,node3=https://192.168.0.3:2380" initial-cluster-token: "my-etcd-cluster" initial-cluster-state: "new" client-transport-security: cert-file: "/etc/ssl/etcd/etcd.pem" key-file: "/etc/ssl/etcd/etcd-key.pem" trusted-ca-file: "/etc/ssl/etcd/ca.pem" peer-transport-security: cert-file: "/etc/ssl/etcd/etcd.pem" key-file: "/etc/ssl/etcd/etcd-key.pem" trusted-ca-file: "/etc/ssl/etcd/ca.pem" ``` 每个节点的配置文件需要修改以下参数: - name:节点名称,需要在集群中唯一。 - data-dir:数据存储目录。 - listen-peer-urls:节点间通信的地址。需要指定 https 协议和端口号。 - listen-client-urls:客户端访问 etcd 的地址。需要指定 https 协议和端口号。 - initial-advertise-peer-urls:节点向其他节点宣告自己的地址。需要指定 https 协议和端口号。 - advertise-client-urls:节点向客户端宣告自己的地址。需要指定 https 协议和端口号。 - initial-cluster:集群中所有节点的信息。每个节点信息格式为 name=https://ip:port。需要注意,节点名称一定要与配置文件中的 name 参数一致。 - initial-cluster-token:集群令牌,需要在所有节点中保持一致。 - initial-cluster-state:集群状态。第一次启动时为 new,之后为 existing。 - client-transport-security:客户端访问 etcd安全配置。 - peer-transport-security:节点间通信的安全配置。 3. 启动 etcd 在每个节点上启动 etcd 服务: ``` $ systemctl start etcd ``` 4. 验证集群状态 在任意一个节点上执行以下命令,可以查看集群状态: ``` $ etcdctl --endpoints=https://192.168.0.1:2379,https://192.168.0.2:2379,https://192.168.0.3:2379 --ca-file=/etc/ssl/etcd/ca.pem --cert-file=/etc/ssl/etcd/etcd.pem --key-file=/etc/ssl/etcd/etcd-key.pem cluster-health ``` 输出结果为: ``` member 9c61b7b4b666f72 is healthy: got healthy result from https://192.168.0.1:2379 member d21cfc0987b4d8f is healthy: got healthy result from https://192.168.0.2:2379 member f4d7a7f4d2a5cee is healthy: got healthy result from https://192.168.0.3:2379 cluster is healthy ``` 表示集群状态正常。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值