云原生k8s之CA证书创建和使用

最新推荐文章于 2025-04-02 16:07:43 发布
原创 最新推荐文章于 2025-04-02 16:07:43 发布 · 1.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #云原生 #docker

目录

引言

一、部署步骤+实验环境

二、所有节点系统初始化

三、Etcd集群部署 

1、准备cfssl证书生成工具

2、生成Etcd证书 

3、从github仓库下载etcd二进制文件 

4、部署Etcd集群

四、安装docker 

五、部署Master Node 

1、生成kube-apiserver 证书

2、从Github下载二进制文件 

3、部署kube-apiserver 

引言

目前生产部署Kubernetes集群主要有两种方式:

(1)kubeadm
Kubeadm 是一个 K8s 部署工具,提供 kubeadm init 和 kubeadm join,用于快速部 署 Kubernetes 集群。
官方地址:https://kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm/
(2)二进制包
从 github 下载发行版的二进制包,手动部署每个组件,组成 Kubernetes 集群。
Kubeadm 降低部署门槛,但屏蔽了很多细节,遇到问题很难排查。如果想更容易可 控,推荐使用二进制包部署 Kubernetes 集群,虽然手动部署麻烦点,期间可以学习很 多工作原理,也利于后期维护。

一、部署步骤+实验环境

(1) 在所有节点上安装 Docker 和 kubeadm
(2)部署 Kubernetes Master
(3)部署容器网络插件
(4)部署 Kubernetes Node,将节点加入 Kubernetes 集群中
(5)部署 Dashboard Web 页面,可视化查看 Kubernetes 资源
服务器类型 IP地址
master 192.168.130.70
node01 192.168.130.60
node02 192.168.130.50

二、所有节点系统初始化

#所有节点,关闭防火墙规则,关闭selinux,关闭swap交换
systemctl stop firewalld
systemctl disable firewalld
setenforce 0
iptables -F && iptables -t nat -F && iptables -t mangle -F && iptables -X
swapoff -a		#交换分区必须要关闭
sed -ri 's/.*swap.*/#&/' /etc/fstab	#永久关闭swap分区,&符号在sed命令中代表上次匹配的结果

#配置虚拟域名
cat >> /etc/hosts << EOF
192.168.130.70 master
192.168.130.60 node01
192.168.130.50 node02
EOF

 

#调整内核参数
 
cat > /etc/sysctl.d/kubernetes.conf << EOF
#开启网桥模式,可将网桥的流量传递给iptables链
net.bridge.bridge-nf-call-ip6tables=1
net.bridge.bridge-nf-call-iptables=1
#关闭ipv6协议
net.ipv6.conf.all.disable_ipv6=1
net.ipv4.ip_forward=1
EOF
 
#加载参数
sysctl --system

 

三、Etcd集群部署 

Etcd 是一个分布式键值存储系统,Kubernetes 使用 Etcd 进行数据存储,所以先准备 一个 Etcd 数据库,为解决 Etcd 单点故障,应采用集群方式部署,这里使用 3 台组建集 群,可容忍 1 台机器故障,当然,你也可以使用 5 台组建集群,可容忍 2 台机器故障。

每台都需要安装etcd

1、准备cfssl证书生成工具

cfssl 是一个开源的证书管理工具,使用 json 文件生成证书,相比 openssl 更方便使用。
找任意一台服务器操作,这里用 Master 节点。

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x cfssl_linux-amd64 cfssljson_linux-amd64 cfssl-certinfo_linux-amd64
mv cfssl_linux-amd64 /usr/local/bin/cfssl
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
mv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo

 

2、生成Etcd证书 

最低0.47元/天 解锁文章
K8S中的Secret创建使用
博客主要分享技术教程、工具教程、bug解决、前沿技术动态、编程经验、心得感悟等。 内容同步、干货获取、推广宣发请看侧栏推广信息
01-08 1117
每个人都有惰性,但不断学习是好好生活的根本,共勉!
k8sca以及相关证书签发流程
李姓门徒
04-08 1837
对于网站类的应用,网站管理员需要向权威证书签发机构(CA)申请证书,这通常需要花费一定的费用,也有非营利的证书签发机构,比如”Let's Encrypt“可以为用户免费签发证书。但对于Kubernetes这类应用来讲,它通常部署在企业内部,其管理面组件不需要暴露到公网,所以就不需要向外部的证书签发机构申请证书,系统管理员就可以自已签发证书供内部使用。 本文通过介绍部分内部组件的ca证书签发流程,引导相关的证书签发过程。
[云原生k8s] k8sCA证书创建使用ETCD集群
m0_71521555的博客
11-03 2005
CA证书ETCD集群部署
K8S二进制部署之定义CA证书ETCD
l17605229954的博客
11-01 839
1、 服务器单向认证:只需要服务器端提供证书,客户端通过服务器端证书验证服务的身份,但服务器并不验证客户端的身份。④ 客户端私钥:客户端证书中包含的公钥所对应的私钥,同理,客户端使用该私钥来向服务器端证明自己是客户端证书的拥有者。⑤ 服务器端 CA证书:签发服务器端证书CA证书,客户端使用CA证书来验证服务器端证书的合法性。⑥ 客户端端 CA证书:签发客户端证书CA证书,服务器端使用CA证书来验证客户端证书的合法性。
33-k8s项目实战-02-k8sca证书有效期更新
2302_79199605的博客
02-29 1154
我们知道,k8s各项组件之间的通信,都是使用https协议进行的,也就是ca证书,那么我们也知道ca证书都是有“有限期的”,一旦过期,系统就无法进行通信了;这也是k8s在企业当中经常遇到的证书过期问题,也是需要我们来监控的;避免系统无法使用
[云原生k8s] k8sCA证书创建使用
weixin_71429850的博客
11-03 2594
Etcd 是一个分布式键值存储系统,Kubernetes 使用 Etcd 进行数据存储,所以先准备 一个 Etcd 数据库,为解决 Etcd 单点故障,应采用集群方式部署,这里使用 3 台组建集 群,可容忍 1 台机器故障,当然,你也可以使用 5 台组建集群,可容忍 2 台机器故障。ETCD_INITIAL_CLUSTER_STATE:加入集群的当前状态,new 是新集群,existing 表示加入 已有集群。ETCD_INITIAL_ADVERTISE_PEER_URLS:集群通告地址。
k8s-证书管理之cert-manager自动生成证书
zerotoall的博客
04-24 1407
cert-manager是基于ACME协议与Let's Encrypt来签发免费证书并自动续期,实现永久免费使用证书Kubernetes提供了基于CA签名的双向数字证书认证方式简单的基于HTTP Base或Token的认证方式,其中CA证书方式的安全性最高。
云原生 | K8s中安装Prometheusgrafana并监控ETCD
最新发布
杜小帅的博客
04-02 1007
Prometheus起源Prometheus受启发于Google的Brogmon监控系统(相似的Kubernetes是从Google的Brog系统演变而来),从2012年开始由前Google工程师在Soundcloud以开源软件的形式进行研发,并且于2015年早期对外发布早期版本。2016年5月继Kubernetes之后成为第二个正式加入CNCF基金会的项目,同年6月正式发布1.0版本。2017年底发布了基于全新存储层的2.0版本,能更好地与容器平台、云平台配合。
k8s:通过域名生成证书
weixin_42072280的博客
03-29 1552
正确方式 "hosts": [ "*.etcd" ], 完整生成证书的示例见附件 [root@node1 certs]# cat /root/k8s/cfg/etcd ETCD_OPTS="--name=etcd-2 \ --listen-peer-urls=https://192.168.56.169:2380 \ --initial-advertise-peer-urls=https://etcd2.etcd:2380 \ --listen-client-urls=http
生成ETCDK8S证书
m0_37660354的博客
08-25 648
生成ETCD ,K8S相关证书
二进制形式配置k8s集群(二)-生成证书
huang_huagui的博客
04-10 1136
参考https://github.com/kelseyhightower/kubernetes-the-hard-way/blob/master/docs/04-certificate-authority.md 可以在任意一台机器上生成证书,之后再复制到各个节点即可。我图方便,直接在master上生成。 以下操作基于文章《配置virtualbox虚拟机》中配置的集群,理论上也适用于其他机器,但建议你也配置一个同样的集群以便先跟上。 安装cfssl wget http://hw.files.jiank.
k8s-证书管理之cert-manager自动生成证书_cert-manager
2401_87109643的博客
09-12 580
issuer与clusterissuer两个签发资源,issuer只能在同一命名空间内签发证书,clusterissuer可以在所有命名空间内签发证书。如果是issuer,则证书secret所属的namspace应与issuer一致;上面用的是cert-manager的自签证书做为CA,也可以自已定义个CA放在secret里,然后做为clusterissuer来进行后续的签发。spec.tls.hosts.secretName定义secret的名称,自动签发的证书会写在这个secret里。
K8s集群 - Nginx配置及证书生成
caryeko的专栏
07-29 571
证书生成工具 mkcert。
Kubernetes(k8s)1.14 离线版集群 - 创建CA证书、秘钥部署kubectl工具
esqabc的博客
10-28 810
声明: 如果您有更好的技术与作者分享,或者商业合作; 请访问作者个人网站 http://www.esqabc.com/view/message.html 留言给作者。 如果该案例触犯您的专利,请在这里:http://www.esqabc.com/view/message.html 留言给作者说明原由 作者一经查实,马上删除 1、安装CA证书生成工具 a、创建证书文件夹 [root@k8s-01 ...
k8s学习笔记-创建CA 证书密钥
snipercai的博客
09-19 3915
主机列表 本次实验选择5台主机,3台作为master主机,2台作为node节点 节点ip OS版本 hostname -f 安装软件 192.168.0.1 RHEL7.4 k8s-master01 docker,etcd,flanneld,kube-apiserver,kube-controller-manager,kube-scheduler 1...
K8S证书认证--基于CA签名的双向数字证书认证方式
chaishi1991的博客
07-16 3568
kubernetes 提供了多种安全认证机制, 其中对于集群通讯间可采用 TLS(https) 双向认证机制,也可采用基于 Token 或用户名密码的单向 tls 认证。k8s一般在内网部署,采用私有 IP 地址进行通讯,权威CA只能签署域名证书,我们这里采用自建CA。环境:Master:172.20.103.1Node:172.20.103.2基于CA签名的双向数字证书的生...
K8S安装过程五:制作与生成证书
架构师实战感悟
11-28 1631
kubernetes 自签发证书创建
K8S 证书过期后,kubeadm 重新生成证书
zhangchang3的博客
07-20 1370
k8s证书更新
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吉吉吉吉吉吉吉吉吉吉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值