Kubernetes v1.8.4 集群各组件加密认证功能的配置参考

最新推荐文章于 2024-06-07 08:56:23 发布
最新推荐文章于 2024-06-07 08:56:23 发布
阅读量1.2k 收藏
点赞数
分类专栏: kubernetes 云计算 文章标签: k8s kubernetes 1-8 ca 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qianggezhishen/article/details/78749047
版权

记录 v1.8.4 的组件配置如下,经测试能完美地工作。

这里 kube-apiserver 并没有做 HA ,先这个测试通过了,后面再做。ha 方面,只需要加上 haproxy+keepalived进行配置,使其以 <vip>:443的方式访问即可。haproxy负责负载转发, keepalived负责监控haproxy的ha。
haproxy和keepalived可以部署在三台master中的两台上,这样注意一下端口问题,不要使用以master的api-server相冲突的端口即可。

好了不多说了,我们直接看下如何配置组件的加密认证功能,具体都添加了注释。

其中的 ca 证书,需要先在 master 中按照 master_ssl.cnf 进行配置生成 root 证书,即 ca.crt, ca.key,然后以他们去生成 server.crt, server.key。最后面将 ca.crt, ca.key 放到node节点中,继续为kubelet生成证书。

master_ssl.cnf

编辑 master_ssl.cnf,添加相关的配置

[alt_names]
DNS.1 = kubernetes
DNS.2 = kubernetes.default
DNS.3 = kubernetes.default.svc
DNS.4 = kubernetes.default.svc.k8s.xxx.com # specify domain name.
DNS.5 = CDM1B12-209202200.wdds.com # apiserver hostname
IP.1 = 10.0.0.1 # kubernetes cluster ip
IP.2 = 10.209.202.200  # kubernetes apiserver ip

在master上创建证书的脚本

function create_master_ca() {
    echo "start create master ca ........."

    openssl genrsa -out ca.key 2048
    openssl req -x509 -new -nodes -key ca.key -subj "/CN=xxx.com" -days 5000 -out ca.crt
    openssl genrsa -out server.key 2048

    HN=`hostname`
    echo "hostname is :$HN"
    openssl req -new -key server.key -subj "/CN=$HN" -config master_ssl.cnf -out server.csr
    openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 5000 -extensions v3_req -extfile master_ssl.cnf -out server.crt


    openssl genrsa -out cs_client.key 2048
    openssl req -new -key cs_client.key -subj "/CN=$HN" -out cs_client.csr
    openssl x509 -req -in cs_client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out cs_client.crt -days 5000

    cp -f ca.* server.crt server.key cs_client.crt cs_client.key /etc/kubernetes/pki
    cp -f /root/kube_package/ssl/kubeconfig /etc/kubernetes/kubeconfig
    echo "end create master ca ........."
}

create_master_ca

在node上创建证书的脚本


#!/bin/bash

cd `dirname $0`
HN=`hostname`
openssl genrsa -out kubelet_client.key 2048
openssl req -new -key kubelet_client.key -subj "/CN=$HN" -out kubelet_client.csr
openssl x509 -req -in kubelet_client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out kubelet_client.crt -days 5000

kube-apiserver

apiVersion: v1
kind: Pod
metadata:
  name: kube-apiserver
spec:
  hostNetwork: true
  containers:
  - name: kube-apiserver
    image: 10.213.42.254:10500/root/hyperkube:v1.8.4-ceph
    command:
    - /bin/sh
    - -c
    - /hyperkube apiserver
      --apiserver-count=1 #注意:这里没有添加ha
      --allow-privileged=true
      --etcd-prefix=/cd-dev02
      --etcd-servers=http://10.209.202.200:2379,http://10.209.204.167:2379,http://10.209.204.199:2379
      --admission-control=SecurityContextDeny,ServiceAccount,NamespaceLifecycle,NamespaceExists,LimitRanger,ResourceQuota
      --insecure-bind-address=0.0.0.0
      --insecure-port=11080 # 这个留着主要是为了兼容之前非安全使用之需。
      --secure-port=443 # 在之前基础上添加这个安全端口即可。
      --advertise-address=10.209.202.200
      --service-cluster-ip-range=10.0.0.0/18
      --tls-cert-file=/etc/kubernetes/pki/server.crt # 注意:这些文件都是挂载上去的,所以后面的 VolumeMounts 中需要特别指定。
      --tls-private-key-file=/etc/kubernetes/pki/server.key
      --client-ca-file=/etc/kubernetes/pki/ca.crt
      --alsologtostderr=false
      --logtostderr=true
      --v=0
      --log-dir=/var/log/kubernetes
      --service-node-port-range=10000-12000
      --storage-backend=etcd3
      --storage-media-type=application/vnd.kubernetes.protobuf
      --runtime-config=v1,extensions/v1beta1=true,extensions/v1beta1/ingress=true >> /var/log/kubernetes/kube-apiserver.log 2>&1
    ports:
        - containerPort: 443
          hostPort: 443
          name: https
        - containerPort: 7080
          hostPort: 7080
          name: http
        - containerPort: 11080
          hostPort: 11080
          name: local
        - containerPort: 6443
          hostPort: 6443
          name: seport
        volumeMounts:
        - mountPath: /etc/kubernetes
          name: pki
          readOnly: true
        - mountPath: /var/log
          name: logpath
        - mountPath: /etc/localtime
          name: localtime
      volumes:
      - hostPath:
          path: /etc/kubernetes
        name: pki
      - hostPath:
          path: /var/log
        name: logpath
      - hostPath:
          path: /etc/localtime
        name: localtime

kube-controller-manager


apiVersion: v1
kind: Pod
metadata:
  name: kube-controller-manager
spec:
  hostNetwork: true
  containers:
  - name: kube-controller-manager
    image: 10.213.42.254:10500/root/hyperkube:v1.8.4-ceph
    command:
    - /bin/sh
    - -c
    - /hyperkube controller-manager
      --v=0
      --logtostderr=true
      --log-dir=/var/log/kubernetes
      --alsologtostderr=false
      --root-ca-file=/etc/kubernetes/pki/ca.crt
      --service-account-private-key-file=/etc/kubernetes/pki/server.key
      --kubeconfig=/etc/kubernetes/kubeconfig #这个yaml文件中本来要指定 --master=https://vip:443 的,但后来版本不支持了,都移到kubeconfig中进行配置了
      --leader-elect=true >> /var/log/kubernetes/kube-controller-manager.log 2>&1
    ports:
    - containerPort: 10252
      hostPort: 10252
      name: local
    volumeMounts:
    - mountPath: /etc/kubernetes
      name: pki
      readOnly: true
    - mountPath: /var/log
      name: logpath
    - mountPath: /sbin/modprobe
      name: modprobe
      readOnly: true
    - mountPath: /lib/modules
      name: modules
      readOnly: true
    - mountPath: /dev
      name: devices
  volumes:
  - hostPath:
      path: /etc/kubernetes
    name: pki
  - hostPath:
      path: /var/log
    name: logpath
  - hostPath:
      path: /sbin/modprobe
    name: modprobe
  - hostPath:
      path: /lib/modules
    name: modules
  - hostPath:
      path: /dev
    name: devices

kube-scheduler


apiVersion: v1
kind: Pod
metadata:
  name: kube-scheduler
spec:
  hostNetwork: true
  containers:
  - name: kube-scheduler
    image: 10.213.42.254:10500/root/hyperkube:v1.8.4-ceph
    command:
    - /bin/sh
    - -c
    - /hyperkube scheduler
      --kubeconfig=/etc/kubernetes/kubeconfig #这个yaml文件中本来要指定 --master=https://vip:443 的,但后来版本不支持了,都移到kubeconfig中进行配置了
      --v=0
      --logtostderr=true
      --alsologtostderr=false
      --log-dir=/var/log/kubenetes
      --leader-elect=true >> /var/log/kubernetes/kube-scheduler.log 2>&1
    ports:
    - containerPort: 10251
      hostPort: 10251
      name: local
    volumeMounts:
    - mountPath: /etc/kubernetes
      name: pki
      readOnly: true
    - mountPath: /var/log
      name: logpath
    - mountPath: /etc/localtime
      name: localtime
  volumes:
    - hostPath:
        path: /etc/kubernetes
      name: pki
    - hostPath:
        path: /var/log
      name: logpath
    - hostPath:
        path: /etc/localtime
      name: localtime

master中的 /etc/kubernetes/kubeconfig

apiVersion: v1
kind: Config
users:
- name: controllermanager
  user:
    client-certificate: /etc/kubernetes/pki/cs_client.crt
    client-key: /etc/kubernetes/pki/cs_client.key
clusters:
- name: local
  cluster:
    server: https://10.209.202.200:443 #本来要在controller-manager和scheduler中的yaml文件中指定 --master=https://vip:443 的,但后来版本不支持了,都移到这里进行配置了,并且 https:// 这几个字不能去掉。
    certificate-authority: /etc/kubernetes/pki/ca.crt
contexts:
- context:
    cluster: local
    user: controllermanager
  name: my-context
current-context: my-context

kubelet.service

[Unit]
Description=Kubernetes Kubelet Server
Documentation=http://kubernetes.io/docs/admin/kubelet/
After=docker.service

[Service]
WorkingDirectory=/var/lib/kubelet
EnvironmentFile=-/etc/default/kube-default
EnvironmentFile=-/etc/default/kubelet
ExecStart=/bin/sh -c '/usr/local/bin/kubelet \
        --network-plugin=cni --cni-conf-dir=/etc/cni/net.d --cni-bin-dir=/opt/cni/bin \
        --hostname-override=10.209.228.18 \
        --kubeconfig=/etc/kubernetes/kubeconfig \ #这个文件中本来要指定 --master=https://vip:443 的,但后来版本不支持了,都移到kubeconfig中进行配置了
        --pod-manifest-path=/etc/kubernetes/manifests \
        --require-kubeconfig=true \
        --logtostderr=true \
        --pod-infra-container-image=10.213.42.254:10500/pause:3.0 \
        --cluster-dns=10.0.0.10 \
        --cluster-domain=k8s.wanda.com \
        --max-pods=110 \
        --cgroup-driver=cgroupfs \
        --fail-swap-on=false \
        --runtime-cgroups=/systemd/system.slice \
        --kubelet-cgroups=/systemd/system.slice \
        --allow-privileged=true -v=0 >> /var/log/kubernetes/kubelet.log 2>&1'
Restart=always
StartLimitInterval=0
RestartSec=10

[Install]
WantedBy=multi-user.target

node 节点中的 /etc/kubernetes/kubeconfig

apiVersion: v1
kind: Config
users:
- name: kubelet
  user:
    client-certificate: /etc/kubernetes/ssl/kubelet_client.crt
    client-key: /etc/kubernetes/ssl/kubelet_client.key
clusters:
- name: local
  cluster:
    server: https://10.209.202.200:443 #本来要在kubelet.service文件中指定 --api_servers=https://vip:443 的,但后来版本不支持了,都移到这里进行配置了,而且将--api-server 改成 server了,并且 https:// 这几个字不能去掉。
    certificate-authority: /etc/kubernetes/ssl/ca.crt
contexts:
- context:
    cluster: local
    user: kubelet
  name: my-context
current-context: my-context

kube-proxy.yaml

apiVersion: v1
kind: Pod
metadata:
  name: kube-proxy
spec:
  hostNetwork: true
  containers:
  - name: kube-proxy
    image: 10.213.42.254:10500/root/hyperkube:v1.8.4-ceph
    command:
    - /bin/sh
    - -c
    - /hyperkube proxy
      --logtostderr=true
      --proxy-mode=iptables
      --master=https://10.209.202.200:443 #感觉这个可以不要,因为我已经在kubeconfig中用server指定了,即server来代替--api-servers。但这个server是否也能替代这里的--master??后面要测试一下这个。
      --kubeconfig=/etc/kubernetes/kubeconfig
      -v=4
      --conntrack-tcp-timeout-established=1200s  >> /var/log/kubernetes/kube-proxy.log 2>&1
    securityContext:
      privileged: true
    volumeMounts:
    - mountPath: /etc/kubernetes
      name: pki
      readOnly: true
    - mountPath: /var/log
      name: logpath
    - mountPath: /etc/localtime
      name: localtime
  volumes:
  - hostPath:
      path: /etc/kubernetes
    name: pki
  - hostPath:
      path: /var/log
    name: logpath
  - hostPath:
      path: /etc/localtime
    name: localtime
图灵AI云
关注
专栏目录
kubernetes https双向认证-----ca认证
qq_24271853的博客
07-14 6260
为什么写这个呢? 在没有了解k8s认证的时候干过一件蠢事,公司项目是通过bearer token进行权限认证的,当时一直在纠结这个token是哪儿来的,然后各种查询secret对比是否一样,最后找到了一个,那个时候并不知道这个token是如何认证的,如何拥有资源的操作权限的,就跑到一个qq群里面去问了一个问题, 感觉自己跟个傻子一样。 这个问题当时并没有去深究,后面不知道干什么事把这个给忘了,前几天想起来又开始搜博客开始学习。 大致的流程,不管通过ca认证还是token认证。都会获取ca证书或者token.
Kubernetes高可用集群二进制部署(Runtime Docker)
最新发布
小兔子的博客
06-14 1434
Kubernetes高可用集群二进制部署(Runtime Docker) Kubernetes(简称为:k8s)是Google在2014年6月开源的一个容器集群管理系统,使用Go语言开发,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效,Kubernetes提供了资源调度、部署管理、服务发现、扩容缩容、监控,维护等一整套功能,努力成为跨主机集群的自动部署、扩展以及运行应用程序容器的平台。 它支持一系列容器工具, 包括Docker、Containerd等。
certs:让我们为Kubernetes加密证书管理器
05-06
让我们为Kubernetes加密证书管理器 该图表使用脚本仅通过DNS验证生成“让我们加密”证书; 它使用Kubernetes Job来获取和更新证书。 入口注释 名称 例子 描述 acme.kubernetes.io/启用 "true" 当value设置为"true"时,在此入口上启用Certs 。 默认值为空。 acme.kubernetes.io/dns "dns_gd" 设置acme.sh --dns参数:(有关所有--dns支持的值,请参见[ ])。 默认值为空。 acme.kubernetes.io/staging "true" 当value设置为"true"时,启用acme登台证书验证。 默认值为空。 acme.kubernetes.io/add-args "--keylength ec-256" 向用于生成证书的acme.sh命令添加更多参数。 默认值
k8s——secret配置资源管理
sea_bunch的博客
06-07 1541
与Secret类似,区别在于ConfigMap保存的是不需要加密配置的信息。
23 k8s调度和加密算法
明日之星
03-22 740
将这些信息放在 secret 中比放在 Pod 的定义或者 容器镜像 中来说更加安全和灵活。前面的调度方式都是站在Pod的角度上,通过在Pod上添加属性,来确定Pod是否要调度到指定的Node上,其实我们也可以站在Node的角度上,通过在Node上添加。- NoExecute:kubernetes将不会把Pod调度到具有该污点的Node上,同时也会将Node上已存在的Pod驱离。# 4 、如果一个pod所在的Node在Pod运行期间其标签发生了改变,不再符合该Pod的节点亲和性需求,则系统将忽略此变化。
kubernetes 1.18.3】failed to get cgroup stats for “/system.slice/docker.service“
白开水的博客
07-04 3954
原因:kubernetes和docker版本兼容性问题 vim 编辑 /var/lib/kubelet/kubeadm-flags.env文件 添加 --runtime-cgroups=/systemd/system.slice --kubelet-cgroups=/systemd/system.slice
pss7_v1.8.4.zip_PSS7_javascript_pss7 1.8_pss7_v1.8.4_siemens hm
07-14
标题 "pss7_v1.8.4.zip_PSS7_javascript_pss7 1.8_pss7_v1.8.4_siemens hm" 暗示这是一个与Siemens HMI(人机界面)和PLC(可编程逻辑控制器)相关的软件包,版本为1.8.4,名为PSS7。该文件可能是Siemens公司的安全...
kubernetes集群 coredns-v1.9.4官网镜像包以及yaml文件
08-21
kubernetes集群 coredns-v1.9.4官网镜像包以及yaml文件
淘宝推广大师 v1.8.4
11-29
通过这些组件,淘宝推广大师 v1.8.4 能够为淘宝客提供一个高效、安全的推广环境,自动化执行各种营销策略,减少手动操作的繁琐,提高工作效率。同时,它还可能具备数据分析功能,帮助用户分析推广效果,优化推广策略...
百度贴吧推广大师 v1.8.4
10-09
【百度贴吧推广大师 v1.8.4】是一款针对百度贴吧进行自动化推广的软件工具,旨在帮助用户高效地执行各种贴吧营销策略。该软件具备多个核心功能,包括: 1. **帐号注册与激活**:软件能自动化创建并激活百度账号,...
k8s使用外部ca证书
qyq88888的专栏
02-24 1667
k8s 使用 ca证书参考
K8S集群tls证书管理
weixin_33905756的博客
08-31 627
在前文介绍的k8s master高可用实践方案中,需要对kube-apiserver的证书进行更新,加入VIP和从节点的IP,然后重新下发证书。回顾K8S集群整个搭建过程中,最容易让人懵圈的也就是配置证书环节,因此本文对K8S集群所用到的证书进行梳理一下。 一、根证书 ca.pem 根证书公钥文件ca-key.pem 根证书私钥文件ca.csr 证书签名请求...
kubernetes的PKI证书
rendongxingzhe的博客
05-10 1485
Kubernetes 需要 PKI 证书才能进行基于 TLS 的身份验证。如果你是使用 kubeadm 安装的 Kubernetes,则会自动生成集群所需的证书。你也可以自己生成证书。 集群是如何使用证书的 Kubernetes 需要 PKI 才能执行以下操作 1.Kubelet 的客户端证书,用于 API 服务器身份验证 2.API 服务器端点的证书 3.集群管理员的客户端证书,用于 API 服务器身份认证 4.API 服务器的客户端证书,用于和 Kubelet 的会话 5.AP
Kubernetes 的证书认证
Kubernetes中文社区
09-20 9301
今天让我们聊聊 Kubernetes 的公私钥和证书认证。 本文内容会提及如何根据需要对 CA、公私钥进行组织并对集群进行设置。 Kubernetes组件中有很多不同的地方可以放置证书之类的东西。在进行集群安装的时候,我感觉有一百多亿个不同的命令参数是用来设置证书、密钥的,真不明白是怎么弄到一起工作的。 当然了,没有一百亿那么多的参数,不过的确很多的。比如 API Serve
kubernetes证书过期问题的解决 (kubernetes v1.11.5 包括node部分)
weixin_34041003的博客
05-27 1187
一、备份证书和配置文件备份证书sudomv/etc/kubernetes/pki/apiserver.key/etc/kubernetes/pki/apiserver.key.oldsudomv/etc/kubernetes/pki/apiserver.crt/etc/kubernetes/pki/apiserver.crt.oldsudomv/etc/ku...
kubernetes1.8.4安装指南 -- 5. 证书生成
陈海峰的博客
12-11 2008
下载cfssl cd /usr/local/src/ wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o cfssl wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o cfssljson wget https://pkg.cfssl.org/R1.2/cfssl
kube-apiserver启动时报错并且不能操作etcd
weixin_34383618的博客
09-14 2262
kube-apiserver启动时报错,错误信息如下: Flag --kubelet-port has been deprecated, kubelet-port is deprecated and will be removed. W0914 15:57:18.574093 29704 authentication.go:362] ...
Kubernetes报错Failed to get system container stats for "/system.slice/kubelet.service"
热门推荐
vicsun2007的博客
09-01 1万+
k8s版本1.10.1 描述:在查看kubelet状态或是在查看日志时有以下错误 Failed to get system container stats for “/system.slice/kubelet.service”: failed to get cgroup stats for “/system.slice/kubelet.service”: failed to get con...
Kubernetes中的用户权限管理实战【详细步骤】
marlinlm的博客
12-23 1739
逐步介绍如何为Kubernetes集群进行用户权限管理
kubernetes v1.26版本需要组件的版本
03-14
根据官方文档,kubernetes v1.26版本需要以下组件的版本:etcd v3.5.0、CoreDNS v1.8.4、kube-apiserver v1.26.0、kube-controller-manager v1.26.0、kube-scheduler v1.26.0、kube-proxy v1.26.0、pause v3.6。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值