03-高可用Kubernetes集群(测试环境)-自签SSL证书

最新推荐文章于 2024-06-16 15:02:08 发布
最新推荐文章于 2024-06-16 15:02:08 发布
阅读量92 收藏
点赞数
分类专栏: Kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangjun0210/article/details/89330786
版权

自签SSL证书

1. 证书需求

组件证书
etcdca.pem, server.pem, server-key.pem
flannelca.pem, server.pem, server-key.pem
kube-apiserverca.pem, server.pem, server-key.pem
kubeletca.pem, ca-key.pem
kube-proxyca.pem, kube-proxy.pem, kube-proxy-key.pem
kubectlca.pem, admin.pem, admin-key.pem

2. 生成自签证书

2.1 安装cfssl工具

在master01节点上使用cfssl来生成自签证书, 先下载并安装cfssl工具, 下载、安装脚本cfssl.sh如下:

curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bin/cfssl
curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /usr/local/bin/cfssljson
curl -L https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o /usr/local/bin/cfssl-certinfo
chmod +x /usr/local/bin/cfssl /usr/local/bin/cfssljson /usr/local/bin/cfssl-certinfo

执行安装脚本

[root@master01 ~]# mkdir k8s
[root@master01 ~]# cd k8s/
[root@master01 k8s]# vi cfssl.sh
[root@master01 k8s]# bash cfssl.sh

在这里插入图片描述

2.2 生成etcd证书

生成etcd证书,脚本etcd-cert.sh如下

cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "www": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}
EOF

cat > ca-csr.json <<EOF
{
    "CN": "etcd CA",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Beijing",
            "ST": "Beijing"
        }
    ]
}
EOF

cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

#-----------------------

cat > server-csr.json <<EOF
{
    "CN": "etcd",
    "hosts": [
    "192.168.1.72",
    "192.168.1.95",
    "192.168.1.88"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing"
        }
    ]
}
EOF

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server

在这里插入图片描述
脚本中的此处为etcd集群节点的IP, 执行脚本

[root@master01 k8s]# mkdir etcd-cert
[root@master01 k8s]# cd etcd-cert/
[root@master01 etcd-cert]# vi etcd-cert.sh
[root@master01 etcd-cert]# bash etcd-cert.sh

在这里插入图片描述
证书已生成完成

逍遥俊子
关注
专栏目录
二进制方式搭建Kubernetes高可用集群(超丰富的组件概念理论总结)
江晓龙的博客
09-23 7万+
二进制方式部署Kubernetes高可用集群 文章目录二进制方式部署Kubernetes高可用集群1.环境准备1.1.Kubernetes高可用集群部署方式1.2.Kubernetes集群弃用docker容器1.3.Kubernetes集群所需的证书1.4.环境准备1.5.安装cfssl证书生成工具2.操作系统初始化配置3.部署Etcd集群3.1.使用cfssl证书工具生成etcd证书3.2.部署etcd集群4.部署Docker服务4.1.安装docker4.2.为docker创建systemctl启动脚本
kubernetes1.19二进制搭建-3-自签证书
清风的博客
02-23 425
下载cfssl curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/bin/cfssl curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /usr/bin/cfssljson curl -L https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o /usr/bin/cfssl-certinfo #赋予执行权限 c
Kubernetes 集群自签证书配置
forever_kinght的博客
03-28 425
Kubernetes 集群自签证书配置,nginx配置TCP和UDP流量的负载均衡转发443
Kubernetes 集群自签证书配置(1),阿里P7大牛亲自讲解
m0_60607536的博客
04-05 910
本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。#default在匹配不到上面的域名是,匹配http_nginx_443下面域名。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。
Kubernetes/K8s企业运维实战(1)(新版本)
10-04
     毫无疑问,Kubernetes已经成为容器编排事实标准。除了已经拥抱Kubernetes的Google、BAT、京东、奇虎360等巨头大厂外,更多的企业也都在向Kubernetes迁移。容器技术大势所趋,是互联网企业目前急需的技术人才之一,已成为运维工程师、架构师的必备技能之一。机会总是留给有准备的人,现在就让我们一起开启这次充满挑战的容器之旅吧! 上完这门课程会获得什么? 首先从零开始教你搭建Kubernetes企业级容器云平台。接下来,学习Kubernetes核心功能,例如Pod、Deployment、Service、Ingress、Volume、PersistentVolume等知识点,再教你如何将公司项目部署到集群中,然后对集群资源监控和应用日志统一管理。贴近企业生产环境讲解,即学即用,确保实用性,实战性!
kubernetes(K8S)创建自签TLS证书
aiduo4911的博客
09-09 1279
TLS证书用于进行通信使用,组件需要证书关系如下: 组件 需要使用的证书 etcd ca.pem server.pem server-key.pem flannel ca.pem server.pem server-key.pem kube-apiserver ca.pem server.pem server-key.pem kubelet ca.pem c...
02-高可用Kubernetes集群(测试环境)-搭建步骤
HJ的技术博客
12-25 159
搭建步骤1. 自签SSL证书2. 部署Etcd集群3. Node节点安装docker CE4. Flannel容器集群网络部署5. 部署master组件6.部署node组件7.部署一个测试示例8.部署Web UI(Dashboard)9.多master集群-部署master02组件10.多master集-Nginx+keepalived(LB) 1. 自签SSL证书 2. 部署Etcd集群 3. ...
【云原生】Kubernetes----Kubernetes集群部署Prometheus 和Grafana
最新发布
hy199707的博客
06-16 982
在云原生时代,Kubernetes(简称K8s)已经成为了容器编排的事实标准。然而,如何监控这个庞大的集群,确保其稳定运行,是每个运维人员都需要面对的问题。Prometheus和Grafana作为开源的监控和可视化工具,被广泛应用于Kubernetes集群的监控中。本文将详细介绍如何在Kubernetes集群中部署Prometheus和Grafana,以实现对集群的全面监控。
Kubernetes1.9生产环境高可用实践--001-ETCD高可用集群部署
wenwst的专栏
04-08 2761
感谢大家的支持,是我写这篇文章的动力。 因为参照生产环境的部署,因此整个整部过程相对繁琐 生产环境使用Kubernetes差不多快3年,在期间确实遇到许多的坑,但生产环境没有出发生过事故。 网上大部分教程都是针对于单个服务的部署,并没有将所有的应用结合起来。很多伙伴在测试环境或在本机上试验,不敢实际使用。这篇文章将我在生产环境近三年的工作中使用到的组件全部列...
Kubernetes集群设计和设置的高级技巧:10个最佳实践,打造高性能和高可用
Lion_Long的博客
04-07 988
这些是一些 kubernetes 设计最佳实践,在设置 kubernetes 集群时经常被遗漏。在实施 kubernetes 时缺少这些方面可能会导致整个集群出现问题,并可能对业务造成损害。这不仅仅是使用自动化创建 Kubernetes 集群,还需要考虑 Kubernetes 集群生命周期管理,并相应地规划自动化工作。理想情况下,解决方案/技术架构师在设计集群架构时应将所有提到的项目(可能有很多但值得考虑)作为清单,以确保在 IaaC 开发期间实现它们。
terraform-gcp-kubernetes-traefik:有关如何使用terraform部署gke集群并将traefik用作入口控制器的小例子
02-04
这些文件定义了所需的资源,如GCP的计算实例、网络、存储和Kubernetes集群。通过运行`terraform init`初始化项目,`terraform plan`预览变更,以及`terraform apply`执行变更,我们可以轻松地管理和更新我们的基础...
kubeadm初始化高可用k8s1.20.4集群-etcd集群独立在k8s集群外-kubernetes安装包和详细文档笔记整理
05-29
它通过执行一系列预定义的步骤,帮助用户快速搭建起一个基本的Kubernetes集群。 在创建高可用k8s集群时,我们通常会设置多个控制平面节点,以确保即使某个节点出现故障,集群也能继续运行。这涉及到配置复制的etcd...
【实战加详解】二进制部署k8s高可用集群教程系列二 - ssl 证书简介
JohnYang's CSDN Home
10-12 1026
实战加详解 - 完美解决二进制部署k8s高可用集群ssl证书以及TLS Bootstrap机制的问题
(9)二进制文件方式部署Kubernetes高可用集群----------部署master节点
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
07-06 1630
部署master节点 控制节点充当整个调度和管理的角色,k8s的Master节点包含以下组件: ※etcd:集群主数据库 ※kube-apiserver:统一的资源操作入口 ※kube-controller-manager:运行在节点上的管理控制组件 ※kube-scheduler:资源调度器根据特定的调度算法把pod生成到指定的计算节点中 上述组件均部署在192.168.0.143机...
Kubernetes证书认证
Kubernetes中文社区
09-20 9327
今天让我们聊聊 Kubernetes 的公私钥和证书认证。 本文内容会提及如何根据需要对 CA、公私钥进行组织并对集群进行设置。 Kubernetes 的组件中有很多不同的地方可以放置证书之类的东西。在进行集群安装的时候,我感觉有一百多亿个不同的命令参数是用来设置证书、密钥的,真不明白是怎么弄到一起工作的。 当然了,没有一百亿那么多的参数,不过的确很多的。比如 API Serve
11-Kubernetes集群常见运维操作
HJ的技术博客
01-31 8217
Kubernetes集群常见运维操作1. Kubernetes对象管理操作1. 1 Node管理1.1.1 Node查看1.1.2 Node扩容与缩容1.1.3 Node的临时隔离与恢复1.2 Label管理1.2.1 对象Label的查看1.2.2 对象Label的添加和删除1.2.3 对象Label的更新1.3 Namespace管理1.3.1 增删Namespace1.3.2 通过cont...
05-kubeadm join原理
HJ的技术博客
01-29 3031
kubeadm join原理1. master节点IP+端口2. token:用于Master验证Node身份3. discovery-token-ca-cert-hash : 用于Node验证Master身份 join:将node加入集群 kubeadm join 172.28.65.239:6443 --token 40dup1.urffu06eu0u1hzy3 --discovery-to...
04- kubeadm init流程
HJ的技术博客
01-29 2944
kubeadm init流程1. kubeadm init流程概览2. 引导前检查3. 生成私钥以及数字证书3.1 查看公钥证书:自建CA,生成ca.key与ca.crt3.2 apiserver的私钥与公钥证书3.3 apiserver访问kubelet使用的客户端私钥与证书3.4 services account需要的sa.key与sa.pub3.5 Etcd相关的私钥与数字证书4. 生成控制...
09-kubernetes集群存储
HJ的技术博客
01-30 961
kubernetes集群存储1. Kubernetes Volume2. PersistentVolume(PV)3. PersistentVolumeClaim(PVC)4. StorageCIass5. 基于StorageCIass的动态PV供给6. PV状态与回收策略7. Kubernetes存储模型 1. Kubernetes Volume Volume:生命周期与其所附着的Pod相同 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逍遥俊子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值