kubernetes1.19二进制搭建-3-自签证书

最新推荐文章于 2023-08-18 17:07:44 发布
最新推荐文章于 2023-08-18 17:07:44 发布
阅读量400 收藏
点赞数
分类专栏: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40200087/article/details/113993620
版权

下载cfssl

curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/bin/cfssl
curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /usr/bin/cfssljson
curl -L https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o /usr/bin/cfssl-certinfo
#赋予执行权限
chmod +x /usr/bin/cfssl*

自签etcd证书

创建tls/etcd文件夹存储etcd证书

mkdir /opt/tls/etcd -p

创建ca证书配置文件

###创建ca-config.json文件
cat ca-config.json
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "etcd": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}
###创建cat ca-csr.json文件
 cat ca-csr.json
{
    "CN": "etcd CA",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Beijing",
            "ST": "Beijing"
        }
    ]
}

创建etcd证书配置文件

###hosts:masterIP 和所有etcd数据库IP,(练习懒得想这个问题所以将所有的IP都加入了进去)
cat server-csr.json
{
    "CN": "etcd",
    "hosts": [
        "192.168.2.101",
        "192.168.2.102",
        "192.168.2.103",
        "192.168.2.104"
        ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing"
        }
    ]
}

生成etcd证书

##生成ca证书
	### 生成ca-key.pem  ca.pem两个pem文件
cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

##生成etcd证书
	### profile需要和ca-config.json 中的一致
	### 生成server-key.pem  server.pem 两个pem文件
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem \
 -config=ca-config.json -profile=etcd server-csr.json | cfssljson -bare server

自签k8s证书

创建tls/k8s文件夹存储k8s证书

mkdir /opt/tls/k8s -p

创建ca配置文件

 cat ca-config.json
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}

cat ca-csr.json
{
    "CN": "kubernetes",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Beijing",
            "ST": "Beijing",
            "O": "k8s",
            "OU": "System"
        }
    ]
}

创建k8s证书配置文件

cat server-csr.json
{
    "CN": "kubernetes",
    "hosts": [
      "10.0.0.1",
      "127.0.0.1",
      "kubernetes",
      "kubernetes.default",
      "kubernetes.default.svc",
      "kubernetes.default.svc.cluster",
      "kubernetes.default.svc.cluster.local",
      "192.168.2.101",
      "192.168.2.102",
      "192.168.2.103",
      "192.168.2.104"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing",
            "O": "k8s",
            "OU": "System"
        }
    ]
}

cat kube-proxy-csr.json
{
  "CN": "system:kube-proxy",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}

生成k8s证书文件

cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem \
 -config=ca-config.json -profile=kubernetes server-csr.json | cfssljson -bare server

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem \
 -config=ca-config.json -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy

最终目录结构是

tree tls/

tls/
├── etcd
│   ├── ca-config.json
│   ├── ca-csr.json
│   ├── ca-key.pem
│   ├── ca.csr
│   ├── ca.pem
│   ├── server-csr.json
│   ├── server-key.pem
│   ├── server.csr
│   └── server.pem
└── k8s
    ├── ca-config.json
    ├── ca-csr.json
    ├── ca-key.pem
    ├── ca.csr
    ├── ca.pem
    ├── kube-proxy-csr.json
    ├── kube-proxy-key.pem
    ├── kube-proxy.csr
    ├── kube-proxy.pem
    ├── server-csr.json
    ├── server-key.pem
    ├── server.csr
    └── server.pem

2 directories, 22 files
一缕清风√
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
部署一套完整的K8s高可用集群(二进制-V1.18).zip
07-11
从github下载发行版的二进制包,手动部署每个组件,组成Kubernetes集群。 Kubeadm降低部署门槛,但屏蔽了很多细节,遇到问题很难排查。如果想更容易可控,推荐使用二进 制包部署Kubernetes集群,虽然手动部署麻烦点,期间可以学习很多工作原理,也利于后期维护。
Kubernetes 集群自签证配置(1),阿里P7大牛亲自讲解
最新发布
m0_60607536的博客
04-05 887
是获得了很多读者好评的Linux经典畅销**《Linux从入门到精通》的第2版**。本第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。#default在匹配不到上面的域名是,匹配http_nginx_443下面域名。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子籍及教程的工程师朋友们劳烦您转发+评论。
kubernetes(K8S)创建自签TLS证
aiduo4911的博客
09-09 1255
TLS证用于进行通信使用,组件需要证关系如下: 组件 需要使用的证 etcd ca.pem server.pem server-key.pem flannel ca.pem server.pem server-key.pem kube-apiserver ca.pem server.pem server-key.pem kubelet ca.pem c...
k8s自签证
qq_42502583的博客
03-29 2402
k8s自签证 通过使用cert-manager来管理证 cert-manager将确保证有效并且是最新的,并在到期前尝试在配置的时间续订证 part1.安装CustomResourceDefinitions和cert-manager本身: ╭─[18:04:19] yup@YP-7-15 ~ ╰─$ kubectl apply -f https://github.com/jetstack/cert-manager/releases/download/v1.2.0/cert-manager.yaml
03-高可用Kubernetes集群(测试环境)-自签SSL证
HJ的技术博客
12-25 86
自签SSL证1. 证需求2. 生成自签证2.1 安装cfssl工具2.2 生成etcd证 1. 证需求 组件 证 etcd ca.pem, server.pem, server-key.pem flannel ca.pem, server.pem, server-key.pem kube-apiserver ca.pem, server.pem, server-...
kubernetes 1.19 二进制安装 zy 20220527
02-23
kubernetes 1.19 二进制安装 kubernetes 是一个自动化容器编排系统,通过这个系统可以自动化容器的部署、扩展和管理。kubernetes 1.19 是一个 LTS(长期支持)版本,具有高可靠性和稳定性。本文将详细介绍 ...
kubernetes-server-linux-amd64.tar.gz 二进制 1.19.7
01-26
本文将深入探讨Kubernetes(简称k8s)1.19.7的二进制安装包,以及它包含的重要组件和功能。 在Kubernetes 1.19.7版本中,用户可以期待一系列的性能优化、安全增强和新特性的引入。这个版本支持Linux AMD64架构,这...
kube-ansible:Ansible部署Kubernetes二进制文件
03-30
所有Node安装python3。 CentOS 7. * CentOS 8. * Ubuntu 16.04.6 Ubuntu 18.04.6 Kubernetes支持 1.14.x 1.15.x 1.16.x 1.17.x 1.18.x 1.19.x 1.20.x 运行时支持 码头工人> = 18.09.0 装箱的> = 1.3.0 ...
jacob1.19(包含jacob-1.19-x64.dll和jacob-1.19-x86.dll)
07-13
这个压缩包"jacob1.19"包含了两个版本的Jacob动态链接库(DLL)文件:jacob-1.19-x64.dll适用于64位系统,而jacob-1.19-x86.dll则适用于32位系统。这两个文件是Jacob库的核心组成部分,它们实现了Java和COM之间的...
kubernetes-server-linux-amd64-v1.19.15.tar.gz
10-06
Kubernetes v1.19.15:稳定版二进制安装详解》 Kubernetes(简称k8s)是目前最流行的容器编排系统,它使得在大规模集群上管理和部署应用变得更加简单和高效。本篇文章将深入探讨kubernetes-server-linux-amd64-v...
二进制部署K8s集群:(2) 设定自签证
阿蔡的博客
10-14 806
设定自签证,证生成工具有很多,如openssl,这里使用cfssl证生成工具。 cfssl是一个开源的证管理工具,使用json文件生成证,相比openssl更方便使用,找任意一台主机操作即可,这里在master节点操作。 一、安装CFSSL 由于CFSSL系列的工具都是独立的二进制文件,所以下载相应的二进制文件并赋予权限即可。 [root@master1 cert]# wget -c https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 [root@mast
二进制安装K8S(三):自签TLS证
奔跑的犀牛
11-12 623
一:需要使用证的组件: 二、master节点上编写脚本: vim /root/scripts/certificate.sh #安装证生成工具 wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 wget https://pkg.cfssl...
【实战加详解】二进制部署k8s高可用集群教程系列十五 - 部署kubelet-自签名证方式
JohnYang's CSDN Home
10-13 228
实战加详解 - 完美解决二进制部署k8s高可用集群中ssl证以及TLS Bootstrap机制的问题
K8S应用笔记 —— 签发自签名证用于Ingress的https配置
热门推荐
gmHappy
08-18 3万+
在本地签发自命名证,用于`K8S`集群的`Ingress`的https配置。
k8s环境生成自签名证配置secret tls并配置到浏览器
lucky_ykcul的博客
08-23 2253
最近公司的网站偶尔会出现“network error”的报错导致网页不稳定,打开开发者工具发现报错为“Failed to load resource: net ::ERR_CERT_AUTHORITY_INVALIED”原因为网页存在认证问题。解决措施有三种:1.申请域名购买证;2.自己生成自签名证;3.将https访问方式改为http。综合考虑成本和安全因素后决定使用自签名证来解决此问题。
K8S官方部署方式以及自签SSL证介绍
小叮当的博客
04-27 1167
文章目录官方提供的三种部署方式总结 官方提供的三种部署方式 minikube Minikube是一个工具,可以在本地快速运行一个单节点的Kubernetes,仅用于尝试Kubernetes或日常开发人员使用。 部署地址:https://kubernetes.io/docs/setup/learning-environment/minikube/ kubeadm Kubeadm也是一个工具,...
kubernetes1.19二进制搭建-2-初始化设置及组件说明
清风的博客
02-23 392
使用版本: 注意:::::安装需要翻墙下载docker镜像,如果没有翻墙资源可以从百度盘中下载下来(还没整理,后面再说) 系统:ubuntu18.04 etcd:3.4.13 docker:18.09.6 kubernetes1.19 pause:3.2 flannel:v0.13.0 metrics-scraper:v1.0.6 cni :v0.8.4 coredns:1.7.0 ingress-nginx:0.30.0 dashboard:v2.1.0 系统配置 ###修改hosts文件 所有机器
Kubernetes Kubeadm Kubelet 证自动续签
Vic的博客
10-28 1593
• 工作节点:工作节点主要是指kubelet连接apiserver所需的客户端证,这个证由controller-manager组件自动颁发,默认是一年,如果到期,kubelet将无法使用过期的证连接apiserver,从而导致无法正常工作,日志会给出证过期错误(x509: certificate has expired or is not yet valid)(工作节点容易忽略掉证有效期)容易过期的是ca证派发出来的证文件,这里的过期时间是客户端的证。因为访问控制就是基于证进行授权的。
K8s & K3s 集群中应用自动签发 Https 证
weixin_36532747的博客
04-13 1118
Cert Manager 简介 随着 HTTPS 不断普及,越来越多的网站都在从 HTTP 升级到 HTTPS,使用 HTTPS 就需要向权威机构申请证,需要付出一定的成本,如果需求数量多,也是一笔不小的开支。cert-manager 是 Kubernetes 上的全能证管理工具,如果对安全级别和证功能要求不高,可以利用 cert-manager 基于 ACME 协议与 Let’s Encrypt 来签发免费证并自动续期,实现永久免费使用证。 Cert-Manager 是一个云原生证管理开源项目
"Kubernetes 1.19 二进制安装及集群架构设计
本次安装的kubernetes集群采用了1.19版本的二进制安装方法,安装日期为2022年5月27日。集群的整体架构图包括了3台master节点,4台work节点,以及单独的3台etcd集群和1台harbor仓库。在集群主机规划及IP地址方面,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值