《Kubernetes证书篇:基于cfssl工具集一键生成二进制kubernetes集群相关证书(方法一)》

已于 2023-05-10 17:30:48 修改
阅读量856 收藏 2
点赞数
分类专栏: 《企业级K8s集群运维实战》 文章标签: kubernetes
于 2023-05-10 11:07:58 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/m0_37814112/article/details/130596685
版权

一、背景信息

Kubernetes 需要 PKI 证书才能进行基于 TLS 的身份验证。如果你是使用 kubeadm 安装的 Kubernetes, 则会自动生成集群所需的证书。如果你是使用二进制安装的 Kubernetes,则需要自己手动生成集群所需的证书。

1、首先从etcd算起

1、etcd CA证书
2、etcd对外提供服务,要有一套etcd server证书
3、etcd各节点之间进行通信,要有一套etcd peer证书
4、etcd client证书

证书列表,如下所示:。

root@etcd01:~# tree /etc/kubernetes/pki/etcd/
/etc/kubernetes/pki/etcd/
├── ca-key.pem
├── ca.pem
├── healthcheck-client-key.pem
├── healthcheck-client.pem
├── peer-key.pem
├── peer.pem
├── server-key.pem
└── server.pem

2、其次从kubernetes算起

1、kubernetes CA证书
2、Kubelet 的客户端证书,用于 API 服务器身份验证
3、Kubelet 服务端证书, 用于 API 服务器与 Kubelet 的会话
4、API 服务器端点的证书
5、集群管理员的客户端证书,用于 API 服务器身份认证
6、API 服务器的客户端证书,用于和 Kubelet 的会话
7、API 服务器的客户端证书,用于和 etcd 的会话
8、控制器管理器的客户端证书或 kubeconfig,用于和 API 服务器的会话
9、调度器的客户端证书或 kubeconfig,用于和 API 服务器的会话
10、前端代理的客户端及服务端证书

证书列表,如下所示:。

root@k8s-master-65:~# tree /etc/kubernetes
/etc/kubernetes
├── admin.kubeconfig
├── controller-manager.kubeconfig
├── kubelet-bootstrap.kubeconfig
├── kube-proxy.kubeconfig
├── manifests
├── pki
│   ├── apiserver-etcd-client-key.pem
│   ├── apiserver-etcd-client.pem
│   ├── apiserver-key.pem
│   ├── apiserver-kubelet-client-key.pem
│   ├── apiserver-kubelet-client.pem
│   ├── apiserver.pem
│   ├── ca-key.pem
│   ├── ca.pem
│   ├── etcd
│   │   ├── ca-key.pem
│   │   └── ca.pem
│   ├── front-proxy-ca-key.pem
│   ├── front-proxy-ca.pem
│   ├── front-proxy-client-key.pem
│   ├── front-proxy-client.pem
│   ├── sa.key
│   ├── sa.pub
│   └── token.csv
└── scheduler.kubeconfig

二、功能简介

1、支持k8s集群一键生产所有相关证书文件及kubeconfig文件
2、支持单master集群、多master集群

目录信息如下所示:
在这里插入图片描述

三、工具下载

基于cfssl工具集一键生成二进制kubernetes集群相关证书工具

四、操作步骤

1、编辑env.conf文件

# https://kubernetes.io/zh-cn/docs/setup/best-practices/certificates/

# cfssl生成证书过程日志打印级别<0:调试 1:信息 2:警告 3:错误 4:严重>
export loglevel="3"

# etcd集群所有主机ip地址和主机名,<建议多写几个ip,方便后期扩容>,ip地址之间必须使用逗号分隔,根据实际情况修改
export etcd_hostname_list="127.0.0.1,etcd01,etcd02,etcd03,192.168.1.62,192.168.1.63,192.168.1.64"

# cluster name,默认不修改
export cluster_name="kubernetes"

# apiserver的service ip地址(一般是svc网段的第一个ip),虚拟IP
export kube_svc_ip="10.96.0.1"

# 单master节点请填写<主机内网ip地址 + 主机名>,ip地址之间必须使用逗号分隔
# 多master集群请填写<所有maser节点主机ip地址 + 所有master节点主机名 + vip地址或代理ip地址>
export kube_apiserver_hostname_list="192.168.1.65,k8s-master-65"

# API Server地址
# 多master集群请填写代理ip或vip的地址和端口
export kube_api_server="192.168.1.65:6443"

2、执行脚本操作

 ./op.sh build

如下图所示:

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

总结:整理不易,如果对你有帮助,可否点赞关注一下?

更多详细内容请参考:企业级K8s集群运维实战

东城绝神
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
K8S证书生成工具-cfssl-Centos离线安装包
10-28
K8S证书生成工具-cfssl工具-Centos离线安装包
kubernetes二进制集群部署——–多master集群(步骤非常详细,适合初学者)
01-09
文章目录一、多master节点集群搭建示意图二、部署环境—单 master 节点的 k8s集群三、添加 master2 多节点K8s集群3.1、在master1上拷贝重要文件给master23.2、master2修改复制的配置文件3.3、制作master2 的ETCD证书...
k8s1.23.15版本二进制部署/扩容及高可用架构详解
97运维的博客
01-01 4241
这次官方消息表明在1.24版本中彻底移除了dockershim,即移除docker。但是在1.24之前的版本中还是可以正常使用docker的,本次使用二进制方式部署可支持docker的最后k8s版本1.23.15。使用nginx和keepalived实现k8s集群apiserver的高可用。
Kubernetes硬核部署方式kubernetes-the-hard-way】02-生成证书
最新发布
SYN.
04-09 728
Kubernetes硬核部署方式kubernetes-the-hard-way】02-生成证书
(四)Kubernetes - 手动部署(二进制方式安装)
u010230019的博客
05-06 1036
二进制部署 3
通过cfssl自签证书https证书
少说多做
02-24 1113
通过cfssl自签https证书并配置本地受信
[云原生k8s] k8s的CA证书创建和使用
weixin_71429850的博客
11-03 1879
Etcd 是一个分布式键值存储系统,Kubernetes 使用 Etcd 进行数据存储,所以先准备 一个 Etcd 数据库,为解决 Etcd 单点故障,应采用集群方式部署,这里使用 3 台组建集 群,可容忍 1 台机器故障,当然,你也可以使用 5 台组建集群,可容忍 2 台机器故障。ETCD_INITIAL_CLUSTER_STATE:加入集群的当前状态,new 是新集群,existing 表示加入 已有集群。ETCD_INITIAL_ADVERTISE_PEER_URLS:集群通告地址。
基于cfssl工具集一键生成二进制kubernetes集群相关证书工具
05-10
原文链接:https://blog.csdn.net/m0_37814112/article/details/130596685 功能如下: 1、支持k8s集群一键生产所有相关证书文件及kubeconfig文件 2、支持单master集群、多master集群
基于cfssl工具集一键生成二进制kubernetes v1.25.14集群相关证书
09-20
**基于cfssl工具集一键生成二进制kubernetes v1.25.14集群相关证书** 在搭建Kubernetes(K8s)集群时,证书是保障通信安全的关键组件。Kubernetes v1.25.14版本中,证书管理的重要性更加凸显,因为它涉及到API...
Kubeode是一个kubernetes(简称:k8s)本土化二进制离线部署软件
05-10
特性:k8s集群二进制一键化多master-HA基于内核负载高可用,支持centos7.3-7.9+kubernetes v1.23.5集群一键离线安装,一键批量增删node节点,一键集成k8s持久化方案Heketi+GlusterFS+nfs+helm3+动态存储+dns+ipvs+...
基于Centos系统使用Ansible一键部署K8S1.24.12二进制集群自动化工具
08-03
2、支持 单机、一主多从、两主多从、三主多从等四种部署架构和六种部署模式的二进制K8S离线集群,且 证书有效期为99年。 3、支持一键部署、启动、停止、检查、集群备份(etcd)、集群恢复(etcd)、集群移除等功能。...
kubernetes # Kubernetes证书相关(CFSSL)
kk_ops的博客
12-03 242
CFSSL是CloudFlare开源的一款PKI/TLS工具。 CFSSL 包含一个命令行工具 和一个用于 签名,验证并且捆绑TLS证书的 HTTP API 服务。 使用Go语言编写。 Github 地址: https://github.com/cloudflare/cfssl 官网地址: https://pkg.cfssl.org/ #安装cfssl #安装cfssl curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bi
Kubernetes1.27.1部署+containerd+CFSSL证书+批量高可用集群部署
qq_28619723的博客
05-17 2013
Kubernetes1.27.1部署+containerd+CFSSL证书+批量集群部署
SSL证书详解和CFSSL工具使用
江晓龙的博客
05-01 4344
SSL证书详解和CFSSL工具使用 1.公钥基础设施PKI基础概念 CA(Certification Authority)证书,指的是权威机构给我们颁发的证书。 密钥就是用来加解密用的文件或者字符串。密钥在非对称加密的领域里,指的是私钥和公钥,他们总是成对出现,其主要作用是加密和解密。常用的加密强度是2048bit。 RSA即非对称加密算法。非对称加密有两个不一样的密码,一个叫私钥,另一个叫公钥,用其中一个加密的数据只能用另一个密码解开,用自己的都解不了,也就是说用公钥加密的数据只能由私钥解开。 证书的编码
使用 cfssl 工具生成证书离线部署Harbor企业级私有镜像仓库(超详细无坑)
Mr.L-OAM的博客
06-05 1936
Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,目标是帮助用户迅速搭建一个企业级的 Docker 镜像管理中心,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中, 确保数据和知识产权在公司内部网络中管控。
k8s 证书生成 cfssl
weixin_43205308的博客
03-11 159
k8s 证书生成 cfssl
K8S安装过程五:制作与生成证书
架构师实战感悟
11-28 1168
kubernetes 自签发证书创建
公钥基础设施(PKI)/CFSSL证书生成工具的使用
weixin_34123613的博客
05-26 406
公钥基础设施(PKI)基础概念CA(Certification Authority)证书,指的是权威机构给我们颁发的证书。密钥就是用来加解密用的文件或者字符串。密钥在非对称加密的领域里,指的是私钥和公钥,他们总是成对出现,其主要作用是加密和解密。常用的加密强度是2048bit。RSA即非对称加密算法。非对称加密有两个不一样的密码,一个叫私钥,另一个叫公钥,用其中一个加密的数据...
CentOS 使用二进制部署 Kubernetes 1.13集群.docx
04-24
CentOS 使用二进制部署 Kubernetes 1.13 集群是一种非常灵活而且能够深入了解各个组件的部署方式。相比于一键部署脚本,这种方法虽然比较繁琐,但是能够让用户更加深入地理解 Kubernetes 的运行原理,有利于排错和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

东城绝神

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值