kubernetes1.5.2集群部署过程--安全模式

最新推荐文章于 2022-07-31 18:10:13 发布
最新推荐文章于 2022-07-31 18:10:13 发布
阅读量961 收藏 1
点赞数 1
分类专栏: docker kubernetes 文章标签: kubernetes K8S kubernetes集群部署 kubernetes安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyingke112/article/details/77776491
版权
本文详细介绍了如何在安全模式下部署 Kubernetes 1.5.2 集群,涉及证书部署、etcd、flanneld网络、kube-master及node节点的配置。通过CFSSL创建并签发各类证书,确保集群内部及外部通讯的安全,并对证书进行验证。整个流程包括CA证书创建、kube-master和kubelet证书签发、etcd证书签发,以及证书的分发和权限设置。
摘要由CSDN通过智能技术生成

使用https安全模式部署kubernetes集群,能保证集群通讯安全、有效限制非授权用户访问。但部署比非安全模式复杂的多。

本文为etcd、kubernetes集群中各个组件配置证书认证,所有组件通讯之间使用https通讯。

运行环境

宿主机:CentOS7 7.3.1611
关闭selinux
etcd 3.1.9
flunnel 0.7.1
docker 1.12.6
kubernetes 1.5.2

安装软件

yum install etcd kubernetes kubernetes-client kubernetes-master kubernetes-node flannel docker docker-devel docker-client docker-common -y

证书部署

cfssl

CFSSL是开源的PKI工具箱,可以创建一个轻松获取和操作证书的内部CA。该工具具有运行一个CA所需的全部功能。

运行CA需要一个CA证书和相应的私钥。私钥是极其敏感的数据,任何知道私钥的人都可以充当CA颁发证书,私钥的保护至关重要。

安装cfssl

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod a+x cfssl*
mv cfssl-certinfo_linux-amd64 cfssl-certinfo
mv cfssl_linux-amd64 cfssl
mv cfssljson_linux-amd64 cfssljson

签发证书

创建CA证书

创建 CA 配置文件

mkdir /root/ssl
cd /root/ssl 
cat << EOF > ca-config.json
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}
EOF

字段说明

ca-config.json:可以定义多个 profiles,分别指定不同的过期时间、使用场景等参数;后续在签名证书时使用某个 profile;
signing:表示该证书可用于签名其它证书;生成的 ca.pem 证书中 CA=TRUE;
server auth:表示client可以用该 CA 对server提供的证书进行验证;
client auth:表示server可以用该CA对client提供的证书进行验证;

创建 CA 证书签名请求

cat << EOF > ca-csr.json
{
  "CN": "lykops.net",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "GD",
      "L": "SZ",
      "O": "lykops.net",
      "OU": "lykops.net"
    }
  ]
}
EOF

生成 CA 证书和私钥

最低0.47元/天 解锁文章
lykops
关注
专栏目录
K8S安全机制介绍
weixin_39970002的博客
11-09 2629
K8S安全机制介绍概述认证(Authentication)授权鉴权(Authorization)准入控制(Adminssion Control) 概述 K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段都支持插件方式,通过API Server配置来启用插件。 Authentication Authorization Admission Control 当kubectl ,ui,程序 等请求某个 k8s 接口时,需要经过认证(判断真伪),鉴权(是否有权限这么做),准入控制(能不能个这
基于kubernetes集群部署DashBoard
weixin_34214500的博客
03-04 174
  在之前一篇文章:Centos7部署Kubernetes集群,中已经搭建了基本的K8s集群,本文将在此基础之上继续搭建K8s DashBoard。 1、yaml文件   编辑dashboard.yaml,注意或更改以下红色部分: apiVersion: extensions/v1beta1 kind: Deployment metadata: # Keep the name in sync w...
Kubernetes+Etcd-v1.5.2 分布式集群部署
weixin_33850015的博客
01-01 273
1.1 Kubernetes必备组件Kubernetes集群中主要存在两种类型的节点:master、minion节点,Minion节点为运行 Docker容器的节点,负责和节点上运行的 Docker 进行交互,并且提供了代理功能。Master节点负责对外提供一系列管理集群的API接口,并且通过和 Minion 节点交互来实现对集群的操作管理。Apiserver:用户和 kubernetes...
k8s(十四)、RBAC权限控制
ywq935的博客
12-06 1万+
前言 kubernetes 集群相关所有的交互都通过apiserver来完成,对于这样集中式管理的系统来说,权限管理尤其重要,在1.5版的时候引入了RBAC(Role Base Access Control)的权限控制机制. PS: RBAC作为集群管理的基础组件之一,本该放在最前面几篇,但是最近才想起来这个方面的知识点,赶紧梳理总结输出了本篇 工作流程 流程图 流程拆解 一、基于资源申明和管...
微服务实操指南,Hands-On Microservices With Kubernetes
华章IT官方博客
06-28 335
新书速递绝大多数企业的软件架构都是从一个单体架构开始的,而不是微服务架构。因为单体架构足够简单、容易上手,不需要复杂的流程就可以快速开发应用程序。但是伴随着企业的成长,单体架构的风险就会...
spark-1.5.2
11-30
Spark可以独立部署,也可以与Hadoop、Mesos或Kubernetes等资源管理器集成。使用Spark,开发者可以选择Scala、Java、Python或R语言进行编程,根据需求选择合适的工作负载模式,如批处理、交互式SQL、实时流处理等。 ...
Kubernetes 容器集群管理系统
qq_27347421的博客
07-31 986
1、Kubernetes 和相关组件的介绍 Kubernetes 是 Google 开源的容器集群管理系统,基于 Docker 构建一个容器的调度服务,提供资 源调度、均衡容灾、服务注册、劢态扩缩容等功能套件。 基于容器的云平台 Kubernetes 基于 docker 容器的云平台,简写成: k8s 。 openstack 基于 kvm 虚拟机云平台。 官网:https://kubernetes.io/ Kubernetes 的架构设计图: 1、master: kubernetes 管理结点 2、
三、kubernetes 集群 YAML 文件详解
weixin_43357497的博客
05-16 893
1. 简单说明 是一个可读性高,用来表大数据列的格式。Yaml的意思其实是:仍是一种标记语言,但是为了强调这种语言以数据为中心。而不是以标记语言为重点。 2. 基本语法 缩进时不允许使用Tab键,只允许使用空格 缩进时空格数目不重要,只要相同层级的元素左侧对齐即可 #标识注释,从这个字节一直到行尾,都会被解释器忽略 使用—表示新的yaml文件开始 3. YAML支持的数据结构 对象:键值对的集合,又称为映射(mapping)、哈希(hashes)/字典(dictionary) 数组:一组按次序排列
kubernetes1.5.2集群部署过程--非安全模式
ddk4044的博客
09-01 148
运行环境 宿主机:CentOS7 7.3.1611 关闭selinux etcd 3.1.9 flunnel 0.7.1 docker 1.12.6 kubernetes 1.5.2 安装软件 yum install etcd kubernetes kubernetes-client kubernetes-master kubernetes-node flannel docke...
Kubernetes1.5.2 HA 部署
码农崛起
06-25 805
节点信息 kubernetes 1.5.2版本 每个节点都要有:vim /etc/hosts 10.30.30.116 k8s-master-116 etcd 10.30.30.117 k8s-master-117 etcd 10.30.30.118 k8s-master-118 etcd 10.30.30.119 k8s-prod...
Kubernetes安装之证书验证
Kubernetes中文社区
05-08 5584
前言 昨晚(Apr 9,2017)金山软件的opsnull发布了一个开源项目和我一步步部署kubernetes集群,下文是结合我之前部署kubernetes过程打造的kubernetes环境和opsnull的文章创建 kubernetes 各组件 TLS 加密通信的证书和秘钥的实践。之前安装过程中一直使用的是非加密方式,一直到后来使用Fluentd和ElasticSearch收集Kub
kubernetes1.5.2--部署DNS服务
ddk4044的博客
09-01 214
本文基于kubernetes 1.5.2版本编写 在kubernetes1.2之前,采用skydns+kube2dns+etcd的方式来部署dns。而从1.3开始,则部署方式有了一点儿变化,将skydns和kube2dns封装到了一个容器镜像中,放弃了etcd,而将dns解析直接放入到了内存之中,同时引入了dnsmasq,进一步利用其缓存。 使用DaemonSet方式部署...
k8s踩坑(三)、kubeadm证书/etcd证书过期处理
热门推荐
ywq935的博客
03-08 2万+
故障现象 使用kubeadm部署集群,在运行了一年之后今天,出现k8s api无法调取的现象,使用kubectl命令获取资源均返回如下报错: Unable to connect to the server: x509: certificate has expired or is not yet valid 故障排查 查看apiserver.crt证书的签署日期和过期日期: root@9027:...
Kubernetes 018】cfssl创建证书并结合RBAC的RoleBinding配置新用户config文件操作详解
T型人小付的博客
05-15 847
安全性是企业生产环境中的头等大事,对于访问同一集群的不同用户或者用户组来说,将权限分级是很有必要的。和很多云厂商一样,k8s也是采用按照角色和用户绑定的方式来分配权限的,这一节我们就来实际操作下,新建一个用户,并只让他在指定的namespace进行管理。 我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。 文章目录RBACRole和ClusterRoleRoleBinding和ClusterRoleBinding用户以及认证一些证
容器监控实践—Prometheus部署方案
weixin_33854644的博客
03-03 503
一.单独部署 二进制安装各版本下载地址:https://prometheus.io/download/ Docker运行 运行命令:docker run --name prometheus -d -p 127.0.0.1:9090:9090 prom/prometheus暴露服务: http://localhost:9090/ 二....
cert-manager使用
Blue summer的博客
07-31 2633
在使用Let’sEncrypt时,我们知道由它颁发的证书有效期只有90天,因此最好是使用自动化方式去申请和续期。而cert-manager可以将certificates和certificateissuers作为资源类型添加到k8s集群中,这样就能简化证书的申请,续期等操作,它可以确保证书有效并在证书过期前一段时间(可配置)对证书进行续期。cert-manager除了支持Let’sEncrypt,还支持HashiCorpVault,Venafi以及私有PKI。...
kubernetes1.8.4安装指南 -- 5. 证书生成
陈海峰的博客
12-11 2010
下载cfssl cd /usr/local/src/ wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o cfssl wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o cfssljson wget https://pkg.cfssl.org/R1.2/cfssl
pandas-1.5.2-cp39-cp39-win_amd64.whl含义
最新发布
05-11
pandas-1.5.2-cp39-cp39-win_amd64.whl 是一个 Python 库的安装包,其中: - pandas 表示这个库的名字是 pandas。 - 1.5.2 表示这个库的版本号是 1.5.2。 - cp39 表示这个库是使用 Python 3.9 编译的。 - win_amd64...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值