Kubernetes集群的CA签名双向数字证书图示

最新推荐文章于 2024-03-02 03:05:44 发布
最新推荐文章于 2024-03-02 03:05:44 发布
阅读量612 收藏
点赞数
分类专栏: Kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oscarun/article/details/106270202
版权

Kubernetes 提供了基于 CA 签名的双向数字证书的认证方式,一般对于一个安全性要求比较高的集群,一般会选择双向数字证书的认证方式,而不采用 HTTP Base 或 Token 的认证方式的,所以对于搭建集群的安全设置,这种认证方式是需要掌握的。
api-server 作为 Master 节点的进程,像 Kubernetes 的其他组件都需要与之通信,所以这些证书的前提都是先在 Master 为 api-server 生成一个由 CA 证书签名的数字证书 server.crt,留意图一的过程。ca.key 是 CA 私钥,ca.crt 是 CA 证书,通过他们可以生成 api-server 的服务私钥。
然后配置一个 master_ssl.conf(此处不展开了,里面的内容主要是 Master 服务器的 hostname,IP 等信息),然后配合上述部署生成的 server.key 生成 server.csr。
最后通过 server.csr 和 ca.crt 和 ca.key 共同签发服务器的证书 server.crt。
在这里插入图片描述
下图展示的主要是 api-server 启动参数需要指定的一些文件。数字证书就是我们的主题,他是基于 CA 签名的数字证书 server.crt,然后就是 CA 证书 ca.crt 和服务私钥 server.key。注意启动参数具体需要的是哪个文件。
由于是基于 CA 签名的,所以客户端比如 kube-proxy/kubelet 这些进程,同样也是通过 ca.key 和 ca.crt 来生成 client.key 和 client.crt,客户端通过这两个文件,就可以跟 api-server 安全通信了。
在这里插入图片描述

runzhliu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes https双向认证-----ca认证
qq_24271853的博客
07-14 5868
为什么写这个呢? 在没有了解k8s认证的时候干过一件蠢事,公司项目是通过bearer token进行权限认证的,当时一直在纠结这个token是哪儿来的,然后各种查询secret对比是否一样,最后找到了一个,那个时候并不知道这个token是如何认证的,如何拥有资源的操作权限的,就跑到一个qq群里面去问了一个问题, 感觉自己跟个傻子一样。 这个问题当时并没有去深究,后面不知道干什么事把这个给忘了,前几天想起来又开始搜博客开始学习。 大致的流程,不管通过ca认证还是token认证。都会获取ca证书或者token.
基于SSL协议的双向认证 - 数字证书 [2]
weixin_30314793的博客
03-26 235
1.1数字证书 1.1.1 概念理解 一种文件的名称,例如一个机构或人的签名,能够证明这个机构或人的真实性。简而言之数字证书是一种网络上证明持有者身份的文件,同时还包括有公钥。证书是由国际上公认的证书机构颁发,这些机构是公认的信任机构。要想请这些机构颁发证书是要给钱的。客户端程序通过维护一个“根授信机构列表”,当收到一个证书时,查看这个证书是否在该列表中,如果是则这个证书是...
数字签名介绍
WJiaJiaBest的博客
10-14 2639
区块链中数字签名的介绍
Go and HTTPS
Programer From Scrach
03-31 1186
转自:http://tonybai.com/2015/04/30/go-and-https/ 近期在构思一个产品,考虑到安全性的原因,可能需要使用到HTTPS协议以及双向数字证书校验。之前只是粗浅接触过HTTP(使用Golang开 发微信系列)。对HTTPS的了解则始于那次自行搭建ngrok服务,在那个过程中照猫画虎地为服务端生成了一些私钥和证书,虽然结果是好 的:ngrok服务成功搭建起来
四,Kubernetes_v1.14.2创建 CA 证书和秘钥
Vv的博客
05-28 705
一,安装 cfssl 工具集(k8s-master01统一完成证书创建分发) 使用cfssl生成CA证书需要单独安装cfssl。 curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /opt/kubernetes/bin/cfssl curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux...
Kubernetes集群部署
02-27
Kubernetes集群部署 Kubernetes集群部署是指将Kubernetes集群安装和配置到多台机器上,实现高可用性和负载均衡的分布式系统。下面将详细介绍Kubernetes集群部署的步骤和相关知识点: Step 1: 准备环境 在开始部署...
使用Kubeadm工具快速安装Kubernetes集群.pdf
10-20
使用Kubeadm工具快速安装Kubernetes集群 本文档主要介绍使用Kubeadm工具快速安装Kubernetes集群的步骤和详细配置过程。Kubeadm是Kubernetes官方提供的一个用于快速安装和管理Kubernetes集群的工具。通过本文档,...
kubernetes集群部署redis
09-02
kubernetes集群部署redis ,本资源为kubernetes集群部署redis高可用读写分离数据库,内含所有需要的yaml文件,有需要的可进行下载
Prometheus监控实践:Kubernetes集群监控
01-27
由于Kubernetes的安全性(RBAC和证书认证),直接在集群内部署Prometheus更为便捷。然而,考虑到现有的监控系统已有一个外部的Prometheus,所以采用了Prometheus的联邦(Federation)功能,使得集群内部的Prometheus...
timonier:从Emacs管理Kubernetes集群
02-05
【标题】:“timonier:从Emacs管理Kubernetes集群” 在Kubernetes的世界里,有效管理和操作集群是一项挑战,尤其对于开发者来说,他们通常需要在各种工具之间切换以完成任务。"timonier"是一个开源项目,它允许...
CA.crt 代理
02-28
CA.crt 代理
CentOS 7 安装Kubernetes记录(带ca认证)
KimZing的博客
04-10 805
CentOS 7 安装Kubernetes记录(带ca认证) 一、环境准备 最好为服务器配置静态IP,不然关机后很多地方的ip需要修改。参考文章 1. 所有节点配置host,使各个Node间可以通过主机名称进行解析。 主机名可以参考上面的文章链接进行修改 $ vi /etc/hosts #加入如下片段(ip地址和servername替换成自己的) 172.16...
Kubernetes集群部署之二CA证书制作
完颜振江
02-04 817
创建TLS证书和秘钥 kubernetes 系统的各组件需要使用 TLS 证书对通信进行加密,本文档使用 CloudFlare 的 PKI 工具集 cfssl 来生成 Certificate Authority (CA) 和其它证书. 1. 下载并安装 CFSSL: # cat cssl.sh #!/bin/bash curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bin/cfssl curl -L https:
[云原生k8s] k8s的CA证书创建和使用及ETCD集群
m0_71521555的博客
11-03 1704
CA证书及ETCD集群部署
CA证书文件的生成及结构
weixin_44617722的博客
04-13 1859
generate 主要调用generate() 方法。 首先调用 getConfig()读取本地配置或使用默认配置。 使用 renderOrgSpec() 和 generatePeerOrg()方法依次生成每个 peer 类型的组织。 使用 renderOrgSpec() 和 generateOrdererOrg()方法依次生成每个 orderer 类型的组织。 renderOrgSpec()负...
mTLS: openssl创建CA证书
最新发布
Mr_rain的专栏
03-02 1570
证书可以通过openssl或者keytool创建,在本篇文章中,只介绍openssl。
网络安全-PKI实验
zdsxc_的博客
10-21 5093
通过本次PKI实验的学习,我对加密解密、数字签名、以及其中的顺序和理念有了深入的了解,密码学也是非常重要的基础,安全不仅仅是个人的安全,更是国家的安全,通过以学习PKI加密的实验,再进行公钥认证的原理和流程的学习,也让我对这套加密体系有了深入的理解,收获很多。
ssl双向认证
weixin_34228387的博客
01-19 78
ssl双向认证 一、背景知识 1、名词解释 ca.key: 根证书的私钥 , ca.crt: 根证书的签名证书 server.key, server.crt client.key, client.crt 2、生成机制 1、openssl-> ca.key,ca.crt2、openssl-> server.key->server.csr<-ca.crt+ca.key =&gt...
生成CA根证书、公钥、私钥指令(数字证书
embbls的博客
02-22 5126
感觉写的不错,结构清晰,而且马上能用上,所以转了过来. 一、生成CA根证书 生成 CA 私钥:openssl genrsa -out ca.key 1024 因为是自签名,省略生成 证书签名请求csr 的过程,直接执行以下命令生成CA证书:openssl req -new -x509 -days 365 -key ca.key -out ca.crt 注:-days 365 指定有效期, 查看证书有效期:openssl x509 -in server.crt -noout -dates 二.
手动部署 Kubernetes 集群指南
为了实现安全的通信,集群中的每个组件都需要使用 TLS 进行加密,并且通常采用自签名的证书颁发机构(CA)来签署证书。这一步骤包括生成 CA 证书、服务器证书和客户端证书,确保数据传输的安全性。 3. **部署高...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值