手动搭建Kubernetes1.8高可用集群(2)TLS Certificates

最新推荐文章于 2024-03-02 00:40:48 发布
最新推荐文章于 2024-03-02 00:40:48 发布
阅读量324 收藏
点赞数
分类专栏: tls
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27772267/article/details/78772556
版权

每个Kubernetes群集都有一个群集根证书颁发机构(CA)。通常由集群组件使用CA来验证API服务器的证书,由API服务器验证kubelet客户端证书等。为了支持这种情况,将CA证书捆绑包分发给集群中的每个节点并且作为秘密附加地分发到默认的服务帐户。或者,您的工作负载可以使用此CA来建立信任。


一、准备

1、openssl工具

二、自建kubernetes CA  #所有配置文件里的注释信息需要删除,包括空格

1、准备openssl.conf
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = kubernetes
DNS.2 = kubernetes.default
DNS.3 = kubernetes.default.svc
DNS.4 = kubernetes.default.svc.cluster.local
DNS.5 = localhost
DNS.6 = node2
DNS.7 = node3
IP.1 = 192.168.1.122                        #IP1:kubernetes server IP
IP.2 = 192.168.1.122                        #IP2:Master IP
IP.3 = 192.168.1.123                        
IP.4 = 192.168.1.123
IP.5 = 10.233.0.1
IP.6 = 127.0.0.1

2、准备make-ssl.sh  证书生成脚本

#!/bin/bash

#MASTERS是所有Master节点,有多少填多少
MASTERS="node1 node2"
#HOSTS代表所有节点,有多少填多少
HOSTS="node1 node2 node3 node4"

set -o errexit
set -o pipefail

usage()
{
cat << EOF
Create self signed certificates

Usage : $(basename $0) -f <config> [-d <ssldir>]
      -h | --help         : Show this message
      -f | --config       : Openssl configuration file
      -d | --ssldir       : Directory where the certificates will be installed

      Environmental variables MASTERS and HOSTS should be set to generate keys
      for each host.

           ex :
           MASTERS=node1 HOSTS="node1 node2" $(basename $0) -f openssl.conf -d /srv/ssl
EOF
}

# Options parsing
while (($#)); do
case "$1" in
-h | --help)   usage;   exit 0;;
-f | --config) CONFIG=${2}; shift 2;;
-d | --ssldir) SSLDIR="${2}"; shift 2;;
*)
usage
echo "ERROR : Unknown option"
exit 3
;;
esac
done

if [ -z ${CONFIG} ]; then
echo "ERROR: the openssl configuration file is missing. option -f"
exit 1
fi
if [ -z ${SSLDIR} ]; then
SSLDIR="/etc/kubernetes/certs"
fi

tmpdir=$(mktemp -d /tmp/kubernetes_cacert.XXXXXX)
trap 'rm -rf "${tmpdir}"' EXIT
cd "${tmpdir}"

mkdir -p "${SSLDIR}"

# Root CA
if [ -e "$SSLDIR/ca-key.pem" ]; then
# Reuse existing CA
cp $SSLDIR/{ca.pem,ca-key.pem} .
else
openssl genrsa -out ca-key.pem 2048 > /dev/null 2>&1
openssl req -x509 -new -nodes -key ca-key.pem -days 10000 -out ca.pem -subj "/CN=kube-ca" > /dev/null 2>&1
fi

gen_key_and_cert() {
local name=$1
local subject=$2
openssl genrsa -out ${name}-key.pem 2048 > /dev/null 2>&1
openssl req -new -key ${name}-key.pem -out ${name}.csr -subj "${subject}" -config ${CONFIG} > /dev/null 2>&1
openssl x509 -req -in ${name}.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out ${name}.pem -days 3650 -extensions v3_req -extfile ${CONFIG} > /dev/null 2>&1
}

# Admins
if [ -n "$MASTERS" ]; then
# kube-apiserver
# Generate only if we don't have existing ca and apiserver certs
if ! [ -e "$SSLDIR/ca-key.pem" ] || ! [ -e "$SSLDIR/apiserver-key.pem" ]; then
gen_key_and_cert "apiserver" "/CN=kube-apiserver"
cat ca.pem >> apiserver.pem
fi
# If any host requires new certs, just regenerate scheduler and controller-manager master certs
# kube-scheduler
gen_key_and_cert "kube-scheduler" "/CN=system:kube-scheduler"
# kube-controller-manager
gen_key_and_cert "kube-controller-manager" "/CN=system:kube-controller-manager"

for host in $MASTERS; do
cn="${host%%.*}"
# admin
gen_key_and_cert "admin-${host}" "/CN=kube-admin-${cn}/O=system:masters"
done
fi

# Nodes
if [ -n "$HOSTS" ]; then
for host in $HOSTS; do
cn="${host%%.*}"
gen_key_and_cert "node-${host}" "/CN=system:node:${cn,,}/O=system:nodes"
done
fi

# system:node-proxier
if [ -n "$HOSTS" ]; then
for host in $HOSTS; do
# kube-proxy
gen_key_and_cert "kube-proxy-${host}" "/CN=system:kube-proxy/O=system:node-proxier"
done
fi

# Install certs
mv *.pem ${SSLDIR}/

3、生成证书

wang@wang:~/certs$ bash make-ssl.sh -f /home/wang/certs/openssl.conf -d /home/wang/certs/
wang@wang:~/certs$ ls
admin-node2-key.pem  ca-key.pem                       kube-proxy-node2-key.pem  kube-scheduler-key.pem  node-node2.pem
admin-node2.pem      ca.pem                           kube-proxy-node2.pem      kube-scheduler.pem      node-node3-key.pem
admin-node3-key.pem  kube-controller-manager-key.pem  kube-proxy-node3-key.pem  make-ssl.sh             node-node3.pem
admin-node3.pem      kube-controller-manager.pem      kube-proxy-node3.pem      node-node1-key.pem      node-node4-key.pem
apiserver-key.pem    kube-proxy-node1-key.pem         kube-proxy-node4-key.pem  node-node1.pem          node-node4.pem
apiserver.pem        kube-proxy-node1.pem             kube-proxy-node4.pem      node-node2-key.pem      openssl.conf
wang@wang:~/certs$

4、分发证书

按照节点名分发证书,api-server,controller-manager,scheduler 发给Master

属主:kube:

属组:kube-cert

mode:0600


完成,下一步配置Docker

Bravepro
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手动搭建高可用kubernetes 集群
04-13
### 手动搭建高可用Kubernetes集群 #### 组件版本与集群环境 - **Kubernetes版本**: 1.8.2 - **Docker版本**: 17.10.0-ce - **Etcd版本**: 3.2.9 - **Flannel版本**: 最新版 - **其他组件**: - TLS认证通信...
MQTT(Message Queuing Telemetry Transport,消息队列遥测传输)协议
weixin_44530052的博客
02-19 453
关于MQTT协议相关学习
03 --- MQTT应用
m0_50620305的博客
04-12 165
MQTT代理服务器 mqtt代理服务器很多,这里给出两个非常流行的代理服务器: mosquitto官网 enqx官网 mosquitto mosquitto是一个高质量轻量级的开源MQTT broker, 目前支持MQTTv3.1和v3.1.1协议, 同时提供了一个C语言动态链接库libmosquitto mosquitto由MQTT协议创始人之一的AndyStanford-Clark参与开发 官网:https://mosquitto.org/ mosquitto 在ubuntu 16.04环境安装
linux自己生成ssl,Shell脚本实现生成SSL自签署证书
weixin_34791250的博客
05-13 442
这篇文章主要介绍了Shell脚本实现生成SSL自签署证书,本文直接给出实现代码,代码中包含大量注释,需要的朋友可以参考下启用 apache 的 mod_ssl 之后需要有证书才能正常运作。写了个脚本来操作。首先要确定机器上已经有 openssl 。复制代码 代码如下:#!/bin/shssl 证书输出的根目录。sslOutputRoot="/etc/apache_ssl"if [ $# -eq 1...
kubernetes(k8s):Ingress 配置(TLS certificates+Basic Authentication )和Rewrite地址重写
weixin_43936969的博客
05-17 1706
文章目录前言1. Ingress TLS 配置2. Ingress 认证配置3. ingress地址重写annotations参数 前言 TLSTLS(Transport Layer Security)即安全传输层协议,在两个通信应用程序之间提供保密性和数据完整性。最典型的应用就是HTTPS。HTTPS,即HTTP over TLS,就是安全的HTTP,运行在HTTP层之下,TCP层之上,为HTTP层提供数据加解密服务。 TLS 是进行 HTTPS 连接的重要环节,通过了 TLS 层进行协商,后续的 H
TLS 协议与 TLS 证书的生成、配置
巡山小妖008
12-22 3479
这里不详细说明 TLS 协议的内容,请另行查阅文档 画外:由于 RSA/ECC 两类非对称加密算法被广泛的应用在各类加密通讯中,因此下面说明的证书生成、签名过程,同样也适用于其他场景,比如 SSH 密钥对生成、JWT 密钥对生成等等。 TLS 协议 我们需要加密网络数据以实现安全通信,但是有一个现实的问题: 非对称加密算法(RSA/ECC 等)可以方便地对数据进行签名/验证,但是计算...
一键安装高可用etcd集群TLS
11-21
# 一键安装高可用etcd集群TLS) # qq/wx: 48092788 e-mail: gcode@qq.com # blog: https://blog.csdn.net/guestcode # create: 2018-11-21 ############################################################ #...
k8s 高可用集群
05-03
k8s 高可用集群是一个基于 Kubernetes高可用集群解决方案,旨在提供高可用、高效、可扩展的容器编排服务。本文将详细介绍 k8s 高可用集群的安装步骤,旨在帮助读者快速搭建高可用 k8s 集群。 一、集群准备 在...
高可用之ActiveMQ高可用集群(ZooKeeper+LevelDB)安装、配置、高可用测试.docx
11-07
以下是对ActiveMQ高可用集群配置的详细解释: 1. **ZooKeeper 配置**: - 安装 ZooKeeper:首先,你需要在集群中的每个节点上安装 ZooKeeper,并配置相应的`conf/zoo.cfg`文件,设置集群节点地址(如`server.1=...
cert-manager:在Kubernetes中自动配置和管理TLS证书
02-02
证书经理cert-manager是Kubernetes的附加组件,用于自动管理和颁发各种发行来源的TLS证书。 它将确保证书有效并定期更新,并尝试在到期前的适当时间更新证书。 它大致基于的工作,并从其他类似项目(例如借鉴了一些...
Shell脚本实现生成SSL自签署证书
09-15
主要介绍了Shell脚本实现生成SSL自签署证书,本文直接给出实现代码,代码中包含大量注释,需要的朋友可以参考下
TLS/HTTPS 证书生成与验证
weixin_34366546的博客
10-17 360
最近在研究基于ssl的传输加密,涉及到了key和证书相关的话题,走了不少弯路,现在总结一下做个备忘 科普:TLS、SSL、HTTPS以及证书 不少人可能听过其中的超过3个名词,但它们究竟有什么关联呢? TLS是传输层安全协议(Transport Layer Security)的缩写,是一种对基于网络的传输的加密协议,可以在受信任的第三方公证基础上做双方的身份认证。TLS可以用在TCP上,...
mTLS: TLS/CA/证书 简介
最新发布
Mr_rain的专栏
03-02 1328
简称英文全称中文全称CA证书颁发机构PCA私有证书颁发机构,又名私有 CASSL安全套接字层协议TLS传输层安全性协议HTTP超文本传输协议HTTPS超文本传输安全协议EV SSLEV 证书,又名扩展验证证书OV SSLOV 证书,又名组织验证证书DV SSL证书,又名域验证证书通配符证书MDC多域 SSL 证书UCC统一通信证书TLD顶级域PKI公钥基础设施OCSP在线证书状态协议CSP加密服务提供商Public key公钥私钥。
SSL TLS认证架构和原理简介
weixin_33700350的博客
07-13 578
SSL/TLS Certificates – Their Architecture, Process & Interactions 翻译文档 SSL/TLS Certificates and how SSL/TLS works 您可能听说过SSL,您的网站甚至可能使用SSL加密 - 但您知道它是如何工作的吗?你想关心一下?当然可以。你有一个好奇心,这就是你点击这个链接的原因! 在本文中...
SSL/TLS 双向认证(一) -- SSL/TLS 工作原理
热门推荐
ustccw
08-04 11万+
本文部分参考: https://www.wosign.com/faq/faq2016-0309-03.htm https://www.wosign.com/faq/faq2016-0309-04.htm http://blog.csdn.net/hherima/article/details/52469674 一: SSL/TLS介绍 什么是SSL,什么是TLS呢?官话说SSL是安全套...
加密通讯协议SSL编程
swanabin的专栏
09-18 3876
1.    示例包 readme为包内容说明,run_server.sh用来运行服务端,run_client.sh用来运行客户端,mk_server.sh用来编译服务端,mk_client.sh用来编译客户端,make_key.sh用来生成钥匙KEY。 2.    什么是SSL? 在学习openssl编程之前,先了解一下什么是SSL,有助于后续的学习。SSL是一个缩写,代表的是
linux生成ssl申请文件,Shell脚本实现生成SSL自签署证书
weixin_39954682的博客
04-29 140
#!/bin/sh## ssl 证书输出的根目录。sslOutputRoot="/etc/apache_ssl"if [ $# -eq 1 ]; thensslOutputRoot=$1fiif [ ! -d ${sslOutputRoot} ]; thenmkdir -p ${sslOutputRoot}ficd ${sslOutputRoot}echo "开始创建CA根证书..."## 创建C...
搭建Kubernetes 1.8高可用集群教程:从下载到部署
本文档主要介绍了如何在Linux环境中搭建Kubernetes(k8s)1.8版本的高可用集群Kubernetes是一款开源的容器编排平台,用于自动化容器应用的部署、扩展和管理。在这个版本中,作者提供了一系列关键组件的下载链接,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值