004.Kubernetes二进制部署创建证书

最新推荐文章于 2024-04-28 20:36:11 发布
最新推荐文章于 2024-04-28 20:36:11 发布
阅读量256 收藏
点赞数
分类专栏: 技术
原文链接:https://www.colorgg.com
版权

一 创建CA证书和密钥

1.1 安装cfssl工具集

  1 [root@k8smaster01 ~]# mkdir -p /opt/k8s/cert
  2 
  3 [root@k8smaster01 ~]# curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /opt/k8s/bin/cfssl	#下载cfssl软件
  4 [root@k8smaster01 ~]# curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /opt/k8s/bin/cfssljson	#下载json模板
  5 [root@k8smaster01 ~]# curl -L https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o /opt/k8s/bin/cfssl-certinfo
  6 [root@k8smaster01 ~]# chmod u+x /opt/k8s/bin/*
  7 [root@k8smaster01 ~]# export PATH=/opt/k8s/bin:$PATH

1.2 创建根证书

  1 [root@k8smaster01 ~]# mkdir -p /opt/k8s/work
  2 [root@k8smaster01 ~]# cd /opt/k8s/work
  3 [root@k8smaster01 work]# cfssl print-defaults config > config.json
  4 [root@k8smaster01 work]# cfssl print-defaults csr > csr.json					#创建模版配置json文件
  5 [root@k8smaster01 work]# cp config.json ca-config.json					#复制一份作为CA的配置文件
  6 [root@k8smaster01 work]# cat > ca-config.json <<EOF
  7 {
  8
字段解释:
config.json:可以定义多个profiles,分别指定不同的过期时间、使用场景等参数;后续在签名证书时使用某个profile;
signing: 表示该证书可用于签名其它证书;生成的ca.pem 证书中CA=TRUE; server auth: 表示client 可以用该CA 对server 提供的证书进行校验; client auth: 表示server 可以用该CA 对client 提供的证书进行验证。 
  1
字段解释:
CN: Common Name,kube-apiserver 从证书中提取该字段作为请求的用户名(User Name);浏览器使用该字段验证网站是否合法; C:country; ST:state; L:city; O: Organization,kube-apiserver 从证书中提取该字段作为请求用户所属的组(Group); OU:organization unit。 
  1 [root@k8smaster01 ~]# cd /opt/k8s/work
  2 [root@k8smaster01 work]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca	#生成CA密钥(ca-key.pem)和证书(ca.pem)
提示:生成证书后,Kubernetes集群需要双向TLS认证,则可将ca-key.pem和ca.pem拷贝到所有要部署的机器的/etc/kubernetes/ssl目录下。
更多TLS证书创建方式参考《附008.Kubernetes TLS证书介绍及创建》。

1.3 分发证书

  1 [root@k8smaster01 ~]# cd /opt/k8s/work
  2 [root@k8smaster01 work]# source /opt/k8s/bin/environment.sh
  3 [root@k8smaster01 work]# for all_ip in ${ALL_IPS[@]}
  4   do
  5     echo ">>> ${all_ip}"
  6     ssh root@${all_ip} "mkdir -p /etc/kubernetes/cert"
  7     scp ca*.pem ca-config.json root@${all_ip}:/etc/kubernetes/cert
  8   done
cnmeimei
关注
专栏目录
二进制形式配置k8s集群(二)-生成证书
huang_huagui的博客
04-10 1060
参考https://github.com/kelseyhightower/kubernetes-the-hard-way/blob/master/docs/04-certificate-authority.md 可以在任意一台机器上生成证书,之后再复制到各个节点即可。我图方便,直接在master上生成。 以下操作基于文章《配置virtualbox虚拟机》中配置的集群,理论上也适用于其他机器,但建议你也配置一个同样的集群以便先跟上。 安装cfssl wget http://hw.files.jiank.
Kubernetes 集群部署(一)(etcd 数据库)(单节点二进制
Xucf1
04-11 916
文章目录Kubernetes 集群部署(一)1.官方提供的三种部署方式2.Kubernetes 平台环境规划3.自签 SSL 证书4.Etcd 数据库集群部署二进制)①环境部署②下载证书制作工具及制作证书③指定 etcd 三个节点之间通讯验证的证书(安全认证)④下载 etcd 与 flannel 的二进制包⑤为 etcd 创建工作目录并完善⑥撰写 etcd 启动脚本与生成其 cfg 配置文件⑦第一次尝试执行启动脚本⑧完善两个 node 节点配置⑨再次尝试执行启动脚本并检查集群健康状态未完待续...本文脚本
二进制安装k8s - 02. 二进制文件下载及生成证书
lswzw的博客
05-13 1250
二进制安装k8s - 02. 二进制文件下载及生成证书 二进制文件下载 ----download k8s binary at: https://dl.k8s.io/v1.15.6/kubernetes-server-linux-amd64.tar.gz ----download etcd binary at: https://storage.googleapis.com/etcd/v3.3.10/etcd-v3.3.10-linux-amd64.tar.gz ----download docker bi
二进制安装k8s集群(2)-制作ssl证书
weixin_46073333的博客
09-22 198
在上一篇文章里我们大致介绍了安装 k8s集群需要安装哪些组件以及我们的环境,在这篇文章里我们主要介绍制作ssl证书,我们以制作docker server和docker client证书为...
Kubernetes多master部署(2)---证书制作
de0414的专栏
05-05 115
在master01(10.50.182.65)操作: #安装证书生成工具cfssl mkdir -p /opt/ssl cd /opt/ssl wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64...
完整kubernetes v1.20.x二进制部署
04-29
### 完整kubernetes v1.20.x二进制部署 #### 一、前置知识点 ##### 1.1 生产环境可部署Kubernetes集群的两种方式 在生产环境中部署Kubernetes集群通常有两种主要的方式: - **kubeadm**:这是一种由Kubernetes...
Kubernetes集群V1.26二进制部署
最新发布
weixin_42642671的博客
04-28 863
离线环境二进制部署k8s:v1.26.15
kubernetes二进制集群部署——–多master集群(步骤非常详细,适合初学者)
01-09
本文将详细介绍如何通过二进制方式部署一个多Master节点的Kubernetes集群,适合初学者逐步学习。 首先,我们要了解多Master节点集群的必要性。在单Master节点的集群中,如果Master节点出现问题,整个集群的控制平面...
Kubernetes v1.21.14 二进制文件
12-20
在使用Kubernetes v1.21.14二进制文件时,用户需要理解如何配置这些组件,包括但不限于证书管理、网络插件选择、存储后端配置以及安全性设置。同时,为了保证集群的稳定性和高可用性,通常需要在多台机器上部署这些...
010.Kubernetes二进制部署kube-controller-manager
m0_37595954的博客
11-17 419
部署高可用kube-controller-manager 1.1 高可用kube-controller-manager介绍 本实验部署一个三实例 kube-controller-manager 的集群,启动后将通过竞争选举机制产生一个 leader 节点,其它节点为阻塞状态。当 leader 节点不可用时,阻塞的节点将再次进行选举产生新的 leader 节点,从而保证服务的可用性。...
K8s二进制证书创建
Jay_Fred的博客
12-21 82
K8s二进制证书创建
Kubernetes二进制安装(二) 证书详解
weixin_34402090的博客
03-11 447
前言在进行二进制搭建K8S集群前,我们需要梳理通最磨人的一个点,就是各种各样的证书机制。这一步是在安装配置kubernetes的所有步骤中最容易出错也是最难排查问题的一步,而这却刚好是第一步,万事开头难,不要因为这点困难就望而却步。一共有多少证书?官方文档参考:https://kubernetes.io/docs/setup/certificates/先从Etcd算起:1、E...
Kubernetes二进制安装
屈帅波的技术博客
12-12 686
192.168.74.229 k8s-master kube-apiserver kube-controller-manager kube-scheduler etcd 192.168.74.238 k8s-node1 kubelet kube-proxy docker flannel 192.168.74.248 k8s-node2 http...
二进制部署Kubernetes(k8s)集群
pzython的博客
02-25 634
1、安装要求 在开始之前,部署Kubernetes 集群机器需要满足以下几个条件: (1)一台或多台机器,操作系统CentOS7.x-86_x64 (2)硬件配置:2GB 或更多RAM,2 个CPU 或更多CPU,硬盘30GB 或更多 (3)集群中所有机器之间网络互通 (4)可以访问外网,需要拉取镜像,如果服务器不能上网,需要提前下载镜像并导入节点 (5)禁止swap 分区 2、准备环境 角色 IP 组件 k8s-master 10.0.0.121 kube-apiserver,kube-c
部署k8s ssl集群实践2:cfssl配置根证书和秘钥
weixin_34326179的博客
08-27 377
参考文档:https://github.com/opsnull/follow-me-install-kubernetes-cluster感谢作者的无私分享。集群环境已搭建成功跑起来。文章是部署过程中遇到的错误和详细操作步骤记录。如有需要对比参考,请按照顺序阅读和测试。 2.1##安装CFSSL使用CloudFlare 的 PKI 工具集 cfssl 来生成 Certificate Authorit...
K8S二进制部署之定义CA证书与ETCD
l17605229954的博客
11-01 622
1、 服务器单向认证:只需要服务器端提供证书,客户端通过服务器端证书验证服务的身份,但服务器并不验证客户端的身份。④ 客户端私钥:客户端证书中包含的公钥所对应的私钥,同理,客户端使用该私钥来向服务器端证明自己是客户端证书的拥有者。⑤ 服务器端 CA 根证书:签发服务器端证书的 CA 根证书,客户端使用该 CA 根证书来验证服务器端证书的合法性。⑥ 客户端端 CA 根证书:签发客户端证书的 CA 根证书,服务器端使用该 CA 根证书来验证客户端证书的合法性。
K8S各种各样的证书介绍
Vic的博客
10-28 3185
例如,所有etcd server证书需要是同一个CA签署的,所有的etcd peer证书也需要是同一个CA签署的,而一个etcd server证书和一个etcd peer证书,完全可以是两个CA机构签署的,彼此没有任何关系。其实实际上,使用一套证书(都使用一套CA来签署)一样可以搭建出K8S,一样可以上生产,但是理清这些证书的关系,在遇到因为证书错误,请求被拒绝的现象的时候,不至于无从下手,而且如果没有搞清证书之间的关系,在维护或者解决问题的时候,贸然更换了证书,弄不好会把整个系统搞瘫。
k8s-二进制部署
勤能补拙,知行合一
04-05 9466
文章目录一,常见的k8s部署方式二,Kubernetes二进制部署 单节点2.部署Master组件3.Worker Node 组件4.部署 kubelet5.部署CoreDNS6.部署CNI网络组件flannel网络插件**Pod内容器与容器之间的通信****同一个Node内Pod之间的通信****不同Node 上 Pod 之间的通信****Overlay Network:****VXLAN:****Flannel :**Flannel udp模式的工作原理:ETCD 之Flannel 提供说明:vxlan
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值