k8s https 认证部署配置相关总结

最新推荐文章于 2024-06-06 16:31:41 发布
最新推荐文章于 2024-06-06 16:31:41 发布
阅读量1.1w 收藏 1
点赞数
分类专栏: kubernetes 文章标签: kubernetes ssl cert https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qianggezhishen/article/details/80411971
版权

在创建pod时,经常会出现如下问题:

E0522 15:22:33.202410 7 authentication.go:64] Unable to authenticate the request due to an error: [invalid bearer token, [invalid bearer token, crypto/rsa: verification error]]

这个问题是在三个master节点生成了不同的 server.key 引起,由于 server.key 需要在 apiserver 启动时指定,在生成 service account 时会采用公钥认证。
在pod创建后,默认会在目录/var/run/secrets/kubernetes.io/serviceaccount/生成token及 ca.crt 等。
如下所示:

[appuser@k8s-master-1 ~]$ kubectl -n helloworld exec -it nginx-hello-deployment-6d645cbbcb-kc52t sh
sh-4.1# cd /var/run/secrets/kubernetes.io/serviceaccount/   
sh-4.1# ls
ca.crt  namespace  token

解决方法:在三个master节点统一的server.key即可。
为了解决多集群部署问题,统一使用提前生成好的ca.crt/ca.key作为root证书,由于这个证书是提前生成好的,在部署的时候所有集群就不需要重新生成不同的证书,直接使用该证书即可。

k8s 需要生成统一的 server.key 来做为私钥,一般的做法是在三台中的某台主机上生成 server.key (openssl genrsa -out server.key 2048),

然后将生成的server.key scp 到其他两台master节点,但这样在部署的时候并不方便,特别是需要跳板机的用户环境,为了解决这个问题,直接将 ca.key 做为 server.key 即可。

在生成证书时,使用每个主机的 hostname 做为 subj 字段,这样就会生成不一样的 server.csr,然后结合 ca.crt/ca.key 就可以生成不同的 server.crt,这样每个集群的证书也就不一样了,防止了安全问题发生。

diff --git a/roles/k8smaster/files/create-master-crt.sh b/roles/k8smaster/files/create-master-crt.sh
index 948104b..d25e8ad 100644
--- a/roles/k8smaster/files/create-master-crt.sh
+++ b/roles/k8smaster/files/create-master-crt.sh
@@ -4,7 +4,7 @@ cd `dirname $0`
 HN=`hostname`

 echo "generate apiserver key & cert"
-openssl genrsa -out server.key 2048
+cp ca.key server.key
 openssl req -new -key server.key -subj "/CN=$HN" -config master_ssl.cnf -out server.csr
 openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 5000 -extensions v3_req -extfile master_ssl.cnf -out server.crt

大概使用openssl来生成apiserver的证书如下:

使用 openssl 能够手动地为集群生成证书。

1、生成密钥位数为 2048 的 ca.key:

openssl genrsa -out ca.key 2048

2、依据 ca.key 生成 ca.crt (使用 -days 参数来设置证书有效时间):

openssl req -x509 -new -nodes -key ca.key -subj "/CN=${MASTER_IP}" -days 10000 -out ca.crt

3、生成密钥位数为 2048 的 server.key:

openssl genrsa -out server.key 2048

4、创建用于生成证书签名请求(CSR)的配置文件。 确保在将其保存至文件(如csr.conf)之前将尖括号标记的值(如<MASTER_IP>) 替换为你想使用的真实值。 注意:MASTER_CLUSTER_IP 是前面小节中描述的 API 服务器的服务集群 IP (service cluster IP)。 下面的示例也假设用户使用 cluster.local 作为默认的 DNS 域名。

[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[ dn ]
C = <country>
ST = <state>
L = <city>
O = <organization>
OU = <organization unit>
CN = <MASTER_IP>

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = kubernetes
DNS.2 = kubernetes.default
DNS.3 = kubernetes.default.svc
DNS.4 = kubernetes.default.svc.cluster
DNS.5 = kubernetes.default.svc.cluster.local
IP.1 = <MASTER_IP>
IP.2 = <MASTER_CLUSTER_IP>

[ v3_ext ]
authorityKeyIdentifier=keyid,issuer:always
basicConstraints=CA:FALSE
keyUsage=keyEncipherment,dataEncipherment
extendedKeyUsage=serverAuth,clientAuth
subjectAltName=@alt_names

5、基于配置文件生成证书签名请求:

openssl req -new -key server.key -out server.csr -config csr.conf

6、使用 ca.key、ca.crt 和 server.csr 生成服务器证书:

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key \
-CAcreateserial -out server.crt -days 10000 \
-extensions v3_ext -extfile csr.conf

7、查看证书:

openssl x509  -noout -text -in ./server.crt

最后,添加同样的参数到 API 服务器的启动参数中。

强哥之神
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s集群-部署七层https
兰辉
06-18 491
有两种方法 一,这种简单,图形界面操作 1,打开k8s 的dashboard 管理平台 2,找到对应的命名空间--> 保密字典-->添加域名证书 3,访问权(阿里云是叫"路由") 添加域名绑定 二,这种复杂和步骤多,但可以使初学者更深的理解k8s 的运行机制,下面的步骤和上面,1-3是对应的 1,准备证书密钥文件 2,创建k8s格使用的secret kubectl create...
在容器服务kubernetes配置https
weixin_34384681的博客
09-21 1637
当前容器服务kubernetes支持多种应用访问的形式,最常见的如SLB:Port,NodeIP:NodePort,域名访问等;但是如果用户希望能够通过https进行应用的访问,容器服务kubernetes默认是不支持的,本文旨在通过实际案例演示https的访问配置,帮助用户在容器服务kubernetes配置自己的证书。 根据访问的方式不同,当前...
k8s 对外服务之 Ingress(HTTPS/HTTP 代理访问 以及Nginx 进行 BasicAuth )
最新发布
wyq2070857323的博客
06-06 1149
目录一 Ingress HTTP 代理访问虚拟主机(一)原理(二)实验1,准备2,创建虚拟主机1资源3,创建虚拟主机2资源4,创建ingress资源5,查看相关参数6,测试访问二 Ingress HTTPS 代理访问(一)理论(二) 实验1,准备2,创建ssl证书3,创建 secret 资源进行存储 3.1 创建Secret资源​编辑3.2 获取Secret资源信息3.3 查看Secret资源4, 创建 deployment、Service、Ingress Yaml 资源5, 查看配置6,真机做
k8s 给服务设置https访问
李半仙
08-20 2459
k8s 给服务设置https访问 查看Pod kubectl get pods -n <pod 名> 查看 Ingress 配置 kubectl get ingresses -n <ingress 名> 查看 Ingress 相关Pod的分布情况 kubectl get pod -o wide -n ingress-nginx 查看 Ingress Pod 的配置文件 kubectl get pod nginx-ingress-controller-fvcvx -o y
k8s使用现有证书配置https
热门推荐
vinter_he
09-29 1万+
已有证书 导入证书 #kubectl create secret tls example-secret --key cert/xxx.key --cert cert/xxx.pem 注意 名字和后缀是可以更改的,比如有可能证书的后缀是crt。 ingressde yaml文件配置示例: apiVersion: extensions/v1beta1 kind: Ingress metadata: name: example spec: tls: - hosts: - www
k8s部署ingress-nginx以及配置http/https访问
w2909526的博客
03-07 4231
ingress概述: Ingress代理并不是pod的service,而是pod,之所以在配置的时候是配置的service,是为了通过service来获取所有pod的信息 ingress-nginx组成: 1)反向代理负载均衡器:通常以service的port方式运行,接收并按照ingress定义的规则进行转发,常用的有nginx,Haproxy,Traefik等 2)ingress-nginx-Controller: 监听APIServer,根据用户编写的ingress规则(编写ingress的yaml
kubernetes的使用二--设置https证书
XR风云
04-24 2188
在安装好了k8s整个环境之后,我们接下来配置https证书,我们都是以https形式来搭建环境的,要在安全性上加固。 下载easy-rsa wget https://github.com/OpenVPN/easy-rsa/archive/master.zip 解压 unzip master.zip 进入 cd easy-rsa-master/easyrsa3 执行命令: ./e
K8s集群部署配置文件包
10-27
本压缩包“K8s集群部署配置文件包”提供了全面的资源,帮助用户快速构建并配置Kubernetes集群。以下将详细阐述其中涉及的关键知识点。 首先,ETCD是Kubernetes集群的核心组件,它是轻量级、分布式的键值存储系统,...
k8s部署kuboard(支持https认证)
11-04
Kuboard 是一款专为 k8s设计的免费管理界面,兼容 k8s版本 1.13 及以上。具备多集群管理、权限管理、监控套件、日志套件等丰富的功能,并且有 1000+ 的企业将 Kuboard 应用于其生产环境。本实验版本为V3版本,支持...
K8S在线安装部署手册.rar
03-21
Kubernetes(简称K8s)是Google开源的一种容器编排系统,用于自动化容器化的应用程序部署、扩展和管理。这篇“K8S在线安装部署手册”详细介绍了如何在云端环境或者本地环境中搭建并运行Kubernetes集群,对于想要掌握...
内网服务器加入k8s集群部署文件
02-18
内网服务器加入Kubernetesk8s)集群的部署是一个涉及多步骤的过程,涉及到网络配置、身份验证、证书管理等多个关键技术点。以下是对这个过程的详细解析: 首先,理解Kubernetes(简称k8s)是Google开源的一个容器...
CKA认证-k8s基本操作.rar
07-23
《CKA认证-k8s基本操作》 在深入探讨CKA(Certified Kubernetes Administrator)认证中的Kubernetesk8s)基本操作之前,首先需要理解Kubernetes的核心概念。Kubernetes是一种容器编排系统,用于自动化容器化应用...
K8S-Service
迷雾总会解
08-26 2345
kube-proxy每个node都有一个,负责Pod网络代理,负责为Service提供cluster内部的服务发现和负载均衡。它是K8s集群内部的负载均衡器,也是一个分布式代理服务器。监控pod,通过 pod的标签( lables)去判断这个断点信息是否写入到 Endpoints里,pod如果发生了变化,及时修改映射关系,修改映射关系的同时,修改路由规则,以便在负载均衡时可以选择到新的pod;监控service,定时从etcd服务获取到service信息来做相应的策略,维护网络规则和四层负载均衡工作;...
Kubernetes】为服务开启Https设置
12Dong的博客
04-30 1352
背景 在使用kubernetes mutating webhook admission中,我为测验效果设置了如果不通过检查就无法部署的FailPolicy。遇到了 如下问题:http: server gave HTTP response to HTTPS client 经过一番google,发现是请求要求是HTTPS,返回却是HTTP 这个错误的解决思路大概分两种,需要一一测试: 服务内部的实...
K8S 集群配置 https 证书
weixin_42555971的博客
06-25 1831
https
kubeadm安装的k8s,证书过期了怎么办?
qq_50119948的博客
05-06 1827
. 问题起源 kubeadm 是 kubernetes 提供的一个初始化集群的工具,使用起来非常方便。但是它创建的apiserver、controller-manager等证书默认只有一年的有效期,同时kubelet 证书也只有一年有效期,一年之后 kubernetes 将停止服务。 官方推荐一年之内至少用 kubeadm upgrade 更新一次 kubernetes 系统,更新时也会自动更新证书。不过,在产线环境或者无法连接外网的环境频繁更新 kubernetes 不太现实。 我们可以在过期之前或之后,
k8s-trouble-sealos:... request due to an error: [invalid bearer token, Token has been invalidated]
风一样的少年
01-28 1580
问题描述 当使用sealos clean --all以后,在init,发现apiserver的一直报如下错误: he request due to an error: [invalid bearer token, Token has been invalidated] 解决办法 删除掉 ~/.sealos 然后重新执行 sealos init,应该就可以了 ...
kubelet证书过期处理方案
求知若渴,虚心若愚。
02-16 3504
kubelet证书过期处理方案
kubeadm 安装kubernetes kube-api证书过期解决方案
my_chenjie的博客
11-29 1748
kubeadm 安装kubernetes kube-api证书过期解决方案 problem describection Unable to connect to the server: x509: certificate has expired or is not yet valid 解决方案 #查看证书过期时间 openssl x509 -in /etc/kubernetes/pki/ap...
otter k8s部署
04-10
Otter是一种开源的Kubernetes部署工具,它提供了一种简单且可扩展的方式来部署和管理Kubernetes集群。下面是Otter K8s部署的一般步骤: 1. 安装Docker和Kubernetes:在开始前,需要先安装Docker和Kubernetes。可以根据操作系统的不同,选择合适的安装方式。 2. 配置Kubernetes集群:使用kubeadm、kubespray或其他工具来配置Kubernetes集群。确保集群中的Master节点和Worker节点正常运行。 3. 下载Otter:从Otter的官方GitHub仓库中下载最新版本的Otter二进制文件。 4. 配置Otter:创建一个Otter配置文件,指定Kubernetes集群的相关信息,例如Master节点的地址、认证凭据等。 5. 部署Otter:使用Otter命令行工具将Otter部署Kubernetes集群中。可以使用以下命令进行部署: ``` otter deploy -c otter-config.yaml ``` 6. 验证部署:等待一段时间,直到Otter在集群中成功部署。可以使用以下命令验证部署状态: ``` otter status ``` 7. 使用Otter:一旦Otter成功部署,就可以使用Otter命令行工具或者Web界面来管理和监控Kubernetes集群。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值