生成ETCD ,K8S证书

已于 2024-08-25 20:45:21 修改
阅读量322 收藏 10
点赞数 3
分类专栏: K8S合集 文章标签: kubernetes etcd
于 2024-08-25 20:44:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37660354/article/details/141534572
版权

master01节点下载etcd 包

wget https://github.com/etcd-io/etcd/releases/download/v3.4.13/etcd-v3.4.13-linux-amd64.tar.gz

wget https://dl.k8s.io/v1.21.0/kubernetes-server-linux-amd64.tar.gz

master01节点解压kubernetes的二进制压缩文件

tar -xf kubernetes-server-linux-amd64.tar.gz  --strip-components=3 -C /usr/local/bin kubernetes/server/bin/kube{let,ctl,-apiserver,-controller-manager,-scheduler,-proxy}

master01 节点解压安装etcd 压缩文件

tar -zxvf etcd-v3.4.13-linux-amd64.tar.gz --strip-components=1 -C /usr/local/bin etcd-v3.4.13-linux-amd64/etcd{,ctl}

查看kubernete,etcd 版本

kubelet --version
etcdctl version

把组件发送到其余的master节点,master节点需要kubelet 对应的六个组件,以及etcd两个组件;其余node 节点只需要 kubelet 与 kube-proxy 两个组件

MasterNodes='k8s-master02 k8s-master03'
WorkNodes='k8s-node01 k8s-node02'
for NODE in $MasterNodes; do echo $NODE; scp /usr/local/bin/kube{let,ctl,-apiserver,-controller-manager,-scheduler,-proxy} $NODE:/usr/local/bin/; scp /usr/local/bin/etcd* $NODE:/usr/local/bin/; done
for NODE in $WorkNodes; do echo $NODE; scp /usr/local/bin/kube{let,-proxy} $NODE:/usr/local/bin/ ; done

所有节点创建cni 插件的目录

mkdir -p /opt/cni/bin

master01节点安装认证授权工具

wget "https://pkg.cfssl.org/R1.2/cfssl_linux-amd64" -O /usr/local/bin/cfssl
wget "https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64" -O /usr/local/bin/cfssljson
chmod +x /usr/local/bin/cfssl /usr/local/bin/cfssljson

所有master节点创建etcd认证证书目录

mkdir /etc/etcd/ssl -p

所有节点创建k8s认证证书

mkdir -p /etc/kubernetes/pki

master01节点生成etcd证书

#生成证书的CSR文件:证书签名请求文件,配置了一些域名、公司、单位

cd /root/k8s-ha-install/pki

生成证书的csr 文件,证书签名请求文件;文件里包含了域名,公司,单位

通过csr生成ca 证书,颁发客户端证书的机构证书

生成ca证书,ca证书的key

cfssl gencert -initca etcd-ca-csr.json | cfssljson -bare /etc/etcd/ssl/etcd-ca

颁发etcd客户端证书

cfssl gencert \
   -ca=/etc/etcd/ssl/etcd-ca.pem \
   -ca-key=/etc/etcd/ssl/etcd-ca-key.pem \
   -config=ca-config.json \
-hostname=127.0.0.1,192.168.56.107,192.168.56.108,192.168.56.109,192.168.56.201,192.168.56.202,192.168.56.203 \
   -profile=kubernetes \
   etcd-csr.json | cfssljson -bare /etc/etcd/ssl/etcd

拷贝etcd证书到其余的master节点上

MasterNodes='k8s-master02 k8s-master03'
WorkNodes='k8s-node01 k8s-node02'

for NODE in $MasterNodes; do
     ssh $NODE "mkdir -p /etc/etcd/ssl"
     for FILE in etcd-ca-key.pem  etcd-ca.pem  etcd-key.pem  etcd.pem; do
       scp /etc/etcd/ssl/${FILE} $NODE:/etc/etcd/ssl/${FILE}
     done
 done

master01 生成kubernets证书,证书涉及组件多,包含api-server,controller-manager,scheduler,kubelet证书,一个ca颁发所有客户端证书

生成ca 证书及ca-key

cfssl gencert -initca ca-csr.json | cfssljson -bare /etc/kubernetes/pki/ca

10.96.0.0/12是k8s service的网段,如果说需要更改k8s service网段,那就需要更改10.96.0.1 第一IP地址

如果不是高可用集群,192.168.56.236(lb地址)为Master01的IP

根据ca证书以及key 生成api-server 的客户端证书

cfssl gencert   -ca=/etc/kubernetes/pki/ca.pem   -ca-key=/etc/kubernetes/pki/ca-key.pem   -config=ca-config.json   -hostname=10.96.0.1,192.168.56.236,127.0.0.1,kubernetes,kubernetes.default,kubernetes.default.svc,kubernetes.default.svc.cluster,kubernetes.default.svc.cluster.local,192.168.56.201,192.168.56.202,192.168.56.203   -profile=kubernetes   apiserver-csr.json | cfssljson -bare /etc/kubernetes/pki/apiserver

生成api-server聚合证书,验证过滤从客户端传过来的指令是否被允许,请求头包含request-client, request-allowed认证字段

生成ca文件及key 过后,生成客户端证书

cfssl gencert   -initca front-proxy-ca-csr.json | cfssljson -bare /etc/kubernetes/pki/front-proxy-ca

根据聚合证书生成客户端证书

cfssl gencert   -ca=/etc/kubernetes/pki/front-proxy-ca.pem   -ca-key=/etc/kubernetes/pki/front-proxy-ca-key.pem   -config=ca-config.json   -profile=kubernetes   front-proxy-client-csr.json | cfssljson -bare /etc/kubernetes/pki/front-proxy-client

生成controller-manager的客户端证书

cfssl gencert \
   -ca=/etc/kubernetes/pki/ca.pem \
   -ca-key=/etc/kubernetes/pki/ca-key.pem \
   -config=ca-config.json \
   -profile=kubernetes \
   manager-csr.json | cfssljson -bare /etc/kubernetes/pki/controller-manager

配置kubeconfig,用于客户端访问api-server,里面含有api-server的主机地址;通过kubectl访问集群时,需要拷贝kubeconfig文件到root/.kube/ 目录下才能够操作集群

# 注意,如果不是高可用集群,api-server 的地址 192.168.56.236:8443 改为master01的地址,8443改为apiserver的端口,默认是6443

# set-cluster:设置一个集群项,kubeconfig可以配置多集群

kubectl config set-cluster kubernetes \
     --certificate-authority=/etc/kubernetes/pki/ca.pem \
     --embed-certs=true \
     --server=https://192.168.56.236:8443 \
     --kubeconfig=/etc/kubernetes/controller-manager.kubeconfig

# set-credentials 设置一个用户项

kubectl config set-credentials system:kube-controller-manager \
     --client-certificate=/etc/kubernetes/pki/controller-manager.pem \
     --client-key=/etc/kubernetes/pki/controller-manager-key.pem \
     --embed-certs=true \
     --kubeconfig=/etc/kubernetes/controller-manager.kubeconfig

# 设置一个环境项,一个上下文

kubectl config set-context system:kube-controller-manager@kubernetes \
    --cluster=kubernetes \
    --user=system:kube-controller-manager \
    --kubeconfig=/etc/kubernetes/controller-manager.kubeconfig

#使用上下文

kubectl config use-context system:kube-controller-manager@kubernetes \
     --kubeconfig=/etc/kubernetes/controller-manager.kubeconfig

生成scheduler证书,scheduler建立集群,用户,上下文

cfssl gencert \
   -ca=/etc/kubernetes/pki/ca.pem \
   -ca-key=/etc/kubernetes/pki/ca-key.pem \
   -config=ca-config.json \
   -profile=kubernetes \
   scheduler-csr.json | cfssljson -bare /etc/kubernetes/pki/scheduler

# 注意,如果不是高可用集群,192.168.56.236:8443改为master01的地址,8443改为apiserver的端口,默认是6443

kubectl config set-cluster kubernetes \
     --certificate-authority=/etc/kubernetes/pki/ca.pem \
     --embed-certs=true \
     --server=https://192.168.56.236:8443 \
     --kubeconfig=/etc/kubernetes/scheduler.kubeconfig



kubectl config set-credentials system:kube-scheduler \
     --client-certificate=/etc/kubernetes/pki/scheduler.pem \
     --client-key=/etc/kubernetes/pki/scheduler-key.pem \
     --embed-certs=true \
     --kubeconfig=/etc/kubernetes/scheduler.kubeconfig



kubectl config set-context system:kube-scheduler@kubernetes \
     --cluster=kubernetes \
     --user=system:kube-scheduler \
     --kubeconfig=/etc/kubernetes/scheduler.kubeconfig



kubectl config use-context system:kube-scheduler@kubernetes \
     --kubeconfig=/etc/kubernetes/scheduler.kubeconfig

生成admin证书,管理集群,建立集群,用户,上下文

cfssl gencert \
   -ca=/etc/kubernetes/pki/ca.pem \
   -ca-key=/etc/kubernetes/pki/ca-key.pem \
   -config=ca-config.json \
   -profile=kubernetes \
   admin-csr.json | cfssljson -bare /etc/kubernetes/pki/admin



kubectl config set-cluster kubernetes     --certificate-authority=/etc/kubernetes/pki/ca.pem     --embed-certs=true     --server=https://192.168.56.236:8443     --kubeconfig=/etc/kubernetes/admin.kubeconfig

kubectl config set-credentials kubernetes-admin     --client-certificate=/etc/kubernetes/pki/admin.pem     --client-key=/etc/kubernetes/pki/admin-key.pem     --embed-certs=true     --kubeconfig=/etc/kubernetes/admin.kubeconfig

kubectl config set-context kubernetes-admin@kubernetes     --cluster=kubernetes     --user=kubernetes-admin     --kubeconfig=/etc/kubernetes/admin.kubeconfig

kubectl config use-context kubernetes-admin@kubernetes     --kubeconfig=/etc/kubernetes/admin.kubeconfig

角色绑定: clusterrole:admin-xxx clusterrolebindding:xxx O:system:masters

创建serviceAccount 生成的account会产生一个secret 这个密钥token是用以下证书所生成

openssl genrsa -out /etc/kubernetes/pki/sa.key 2048


openssl rsa -in /etc/kubernetes/pki/sa.key -pubout -out /etc/kubernetes/pki/sa.pub

发送到其余的master节点


for NODE in k8s-master02 k8s-master03; do 
for FILE in $(ls /etc/kubernetes/pki | grep -v etcd); do 
scp /etc/kubernetes/pki/${FILE} $NODE:/etc/kubernetes/pki/${FILE};
done; 
for FILE in admin.kubeconfig controller-manager.kubeconfig scheduler.kubeconfig; do 
scp /etc/kubernetes/${FILE} $NODE:/etc/kubernetes/${FILE};
done;
done

查看证书个数k8s 有23个

ls /etc/kubernetes/pki/ |wc -l

etcd证书
learnalwaystodie的博客
02-23 2513
wget "https://pkg.cfssl.org/R1.2/cfssl_linux-amd64" -O /usr/local/bin/cfssl wget "https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64" -O /usr/local/bin/cfssljson 1: cfssl gencert -initca ca-csr.json | cfssljson -bare ca - ca-csr.json #根请求,包括域名 国家 城市 ..
k8s-证书管理之cert-manager自动生成证书_cert-manager
最新发布
2401_87109643的博客
09-12 393
issuer与clusterissuer两个签发资源,issuer只能在同一命名空间内签发证书,clusterissuer可以在所有命名空间内签发证书。如果是issuer,则证书secret所属的namspace应与issuer一致;上面用的是cert-manager的自签证书做为CA,也可以自已定义个CA放在secret里,然后做为clusterissuer来进行后续的签发。spec.tls.hosts.secretName定义secret的名称,自动签发的证书会写在这个secret里。
etcd集群生成TLS证书
Niklauson的博客
08-02 505
etcd集群认证生成
flink的基础介绍_千锋flink
2301_79985178的博客
04-26 303
电商和市场营销 数据报表、广告投放、业务流程需要物联网 传感器实时数据采集和显示、显示报警、交通运输业电信业 基站流量调配银行和金融业 实时结算和通知推送,实时检测异常行为flink也常用于离线和实时数仓中!!!首先我们来看看数仓架构演变(借用阿里云数仓架构)。演变如下图:离线数仓架构:Lambda架构:实时和离线计算融于一体。Kappa架构:Lambda架构的简化版本,去掉其离线部分。flink认为批次也是实时的特例!!!
kubernetes 源码安装1.18.3 (1)创建etcd证书
默子昂
12-09 932
"cfssl" 是一个开源的证书管理工具,使用 "json" 文件生成证书,相比 openssl 更方便使用。 (上面的话是网上摘的,也没感觉方便在那里,两个都在用) 拉取证书工具 curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bin/cfssl curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /usr/local/bin/cfsslj..
[k8s部署]7.etcd配置证书
weixin_45396500的博客
06-07 468
启动ectd后,按照bash命令启动api server发现如下报错:但无法与etcd通信,出现了错误检查etcd的端口,etcd正在监听,但是依然无法与etcd通信。这可能是因为证书或配置问题查看etcd日志,也运行正常检查sudo ls -l /etc/kubernetes/pki/,发现该目录为空,这意味着etcd和apiserver的密钥没有配置。
基于外部etcdK8S集群一键生成etcd应用相关证书
04-26
说明:etcd相关证书包括 1、etcd集群相关证书CA 2、etcd对外提供服务,要有一套etcd server证书 3、etcd客户端证书 4、kube-apiserver访问Etcd,要有一套etcd client证书 证书文件如下所示: ├── ca-key.pem ├...
Kubernetes 证书一键生成(包含 etcd 证书)
04-30
"k8s-tls"可能是生成证书的脚本或工具,它可以读取config.yaml,并自动生成所需的所有证书和密钥,包括Kubernetes控制平面和etcd组件的证书。 **证书生命周期管理** Kubernetes证书有固定的生命周期,过期后需要...
Kubeadm生成k8s证书内容说明
05-22
### Kubeadm生成k8s证书内容说明 #### 一、概述 Kubeadm是一种简化Kubernetes集群部署过程的工具,它能够自动化完成Kubernetes集群的搭建工作。在Kubeadm部署过程中,会生成一系列用于保障Kubernetes集群安全性...
k8s证书修改为10年文件
06-13
总结起来,将k8s证书的有效期延长至10年涉及到证书生成、控制器配置、现有证书的更新以及组件配置等多个环节。这个过程需要对k8s的架构和证书管理有深入理解,同时要注意操作的安全性和服务的连续性。通过合理的...
k8s etcd ca证书生成
sweetCandy_m的博客
04-20 1124
1、下载生成ca证书的插件cfssl cfssljson cfssl-certinfo wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 2、将cfssl cfssljson cfssl-certinfo修改为可执行文件 ch
k8s-01一键生成k8s证书
weixin_34406086的博客
10-02 1019
下面直接写成脚本就行放在/root/ssl下面直接执行就行 备注:此为master节点生成证书都在/opt/kubernetes/ssl下面,如果node节点想用直接scp过去 192.168.56.10为master 192.168.56.11node01 192.168.56.12node02 hosts也可以只写master节点的ip地址...
ETCD的创建
learnalwaystodie的博客
12-23 959
etcd安装摘要
[k8s]二进制部署k8s 更换etcd证书(100年有效期)
yyq2272的博客
04-16 428
[k8s]二进制部署k8s 更换etcd证书(100年有效期)
[云原生k8s] k8s的CA证书创建和使用
weixin_71429850的博客
11-03 2439
Etcd 是一个分布式键值存储系统,Kubernetes 使用 Etcd 进行数据存储,所以先准备 一个 Etcd 数据库,为解决 Etcd 单点故障,应采用集群方式部署,这里使用 3 台组建集 群,可容忍 1 台机器故障,当然,你也可以使用 5 台组建集群,可容忍 2 台机器故障。ETCD_INITIAL_CLUSTER_STATE:加入集群的当前状态,new 是新集群,existing 表示加入 已有集群。ETCD_INITIAL_ADVERTISE_PEER_URLS:集群通告地址。
Kubernetes证书篇:手动生成二进制kubernetes集群相关证书
东城绝神
04-24 1887
《《Kubernetes证书篇:二进制手动生成kubernetes集群相关证书
Kubeadm生成k8s证书内容说明以及延长证书过期时间
weixin_43258559的博客
03-23 1864
kubeadm 部署的 Kubernetes 集群是以 pod 的方式运行 etcd 服务的, 在该 pod 的定义中, 配置了 Liveness 探活探针。
k8s证书续期及版本升级
geriletuma
07-28 626
k8s证书续期及版本升级
安装k8s etcd证书
08-13
安装 Kubernetes (K8s) 集群中的 etcd 证书主要是为了保证集群的安全性和数据一致性。etcdK8s 中用于存储集群配置信息的持久化存储,通常采用 TLS 加密来保护通信。 以下是安装步骤: 1. **生成证书**: 使用 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值