Kubernetes 小白学习笔记(19)--高可用kubernetes集群

最新推荐文章于 2024-04-17 10:29:14 发布
最新推荐文章于 2024-04-17 10:29:14 发布
阅读量306 收藏
点赞数
分类专栏: kubernetes 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013288190/article/details/109228110
版权

 

 

 

config.json

{
    "CN": "$HOSTNAME",
    "hosts": [
        "$HOSTNAME",
        "PRIVATE_IP"
    ],
    "key": {
        "algo": "ecdsa",
        "size": 256
    },
    "names": [
        {
            "C": "US",
            "ST": "CA",
            "L": "San Francisco"
        }
    ]
}

本章涉及到的cfssl命令:

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=server config.json | cfssljson -bare server
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=peer config.json | cfssljson -bare peer

cfssl gencert -ca=ca.crt -ca-key=ca.key -config=ca-config.json -profile=client client.json | cfssljson -bare client

 

 

clien.json

{
  "CN": "client",
  "key": {
      "algo": "ecdsa",
      "size": 256
  }
}

 

 

config.yaml

config.yaml
  apiVersion: kubeadm.k8s.io/v1alpha1
  kind: MasterConfiguration
  api:
    advertiseAddress: <lb-virtual-ip>
    controlPlaneEndpoint: <lb-virtual-ip>
  etcd:
    endpoints:
    - https://<etcd0-ip-address>:2379
    - https://<etcd1-ip-address>:2379
    - https://<etcd2-ip-address>:2379
    caFile: /etc/kubernetes/pki/etcd/ca.crt
    certFile: /etc/kubernetes/pki/etcd/client.crt
    keyFile: /etc/kubernetes/pki/etcd/client.key
  networking:
    podSubnet: <podCIDR>
  apiServerCertSANs:
  - <lb-virtual-ip>
  - <private-ip>
  apiServerExtraArgs:
    apiserver-count: "3"

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

内容来自:

https://coding.imooc.com/class/284.html

 

 

软件工程小施同学
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Kubernetes 集群安全-教程与笔记习题
05-22
Kubernetes 集群安全
使用cfssl生成自签证书
DXZCZH的博客
01-13 6186
tls即安全传输层协议,一般用于在两个通信应用程序之间提供保密性和数据完整性,由于在工作项目中系统内部需要安全认证,google一下发现了一个好用的自签证书的开源工具cfsslcfssl是由CoreOS提供的(用GO实现,直接使用go get就可以安装),简单安全。 cfssl用来为etcd提供tls证书,因此它支持签三种类型的证书:client证书、server证书以及peer证书(即etcd...
CFSSL: 证书管理工具:3:使用CA私钥与证书签发证书
知行合一 止于至善
12-15 1988
这篇文章介绍一下如何使用CFSSL的命令创建出来的CA私钥和CA证书签发新的证书。
cfssl使用方法重新整理说明
m0_46900715的博客
05-24 1364
cfssl使用方法重新整理说明
cfssl简单使用
janthinasnail的博客
01-19 1164
CA根证书配置文件,一般命名为ca-config.json,它用于配置根证书的使用场景 (profile) 和具体参数 (usage,过期时间、服务端认证、客户端认证、加密等),后续在签名其它证书时需要指定特定场景 (profile)。查看某个命令使用:cfssl [command] -help,其中[command]为某个命令名称。2) CA根证书及其私钥创建过程不需要甚至该字段。生成自签名根 CA 证书和私钥。生成证书签名请求和私钥。生成 CA 秘钥文件(目标证书签名请求文件。
修改kubernetes服务nodeport类型的端口范围
feelnature的专栏
08-01 7751
kuberntes服务nodeport端口,默认是3000-32767。但是某些场合下,这个限制并不适用。 kubernetes提供了自定义服务端口的方法,方法如下: 在初始化集群时,加入如下参数: apiServerExtraArgs:   service-node-port-range: 6-33000 初始化集群,即可改变端口范围。 yml文件示例: apiVersion: k...
ETCD TLS 配置的坑
weixin_33841722的博客
10-26 456
一、环境准备 环境总共 3 台虚拟机,系统为centos7,1个 master,2 个 etcd 节点,master 同时也作为 node 负载 pod,在分发证书等阶段将在另外一台主机上执行,该主机对集群内所有节点配置了 ssh 秘钥登录 IP 节点 192.168.0.153 master、node、etcd 192.168.0.154 master、...
Kubernetes监控:Dashbaord 2.0.0部署之证书创建和设定
知行合一 止于至善
02-02 2349
在前面一篇文章中介绍了Dashboard 2.0.0-rc3的使用,但是证书的创建和设定使用缺省方式,在这篇文章中将进一步进行说明如何从外部创建和指定证书。
kubernetes创建只具有只读权限的账号
qq_37256882的博客
12-20 589
日常运维账号应该是权限最小化的账号,且有时开发需要登陆生产机,避免开发误操作引起故障,也只应给到开发只读权限的账号。本文创建一个只具有只读权限的ClusterRole,并重新生成~/.kube/config,将此配置拷贝到日常运维账号or开发账号下,使其只具备只读的操作权限。
kubernetes视频教程笔记 (31)-安全-鉴权Authorization
软件工程小施同学 的专栏
12-15 418
一、Authorization 上面认证过程,只是确认通信的双方都确认了对方是可信的,可以相互通信。而鉴权是确定请求方有哪些资源的权限。 API Server 目前支持以下几种授权策略 (通过 API Server 的启动参数 “--authorization-mode” 设置) AlwaysDeny:表示拒绝所有的请求,一般用于测试 AlwaysAllow:允许接收所有请求,如果集群不需要授权流程,则可以采用该策略 ABAC(Attribute-Based Access Control):...
kubernetes集群部署笔记.pdf
08-23
kubernetes,简称K8s,是用8代替8个字符“ubernete”而成的缩写。是一个开源的,用于管理云平台中多个主机上的容器化的应用。一步一步实践k8s集群部署,快速上手,只需看这个笔记即可。
Kubernetes架构学习笔记
02-25
Kubernetes是Google开源的容器集群管理系统,其提供应用部署、维护、扩展机制等功能,利用Kubernetes能方便地管理跨机器运行容器化的应用,是Docker分布式系统的解决方案。k8s里所有的资源都可以用yaml或Json定义。...
[kubernetes]4-2 高可用集群部署(上)
爷来辣的博客
01-04 240
4-2 高可用集群部署(上) 二、高可用集群部署 1. CA证书(任意节点) 1.1 安装cfssl cfssl是非常好用的CA工具,我们用它来生成证书和秘钥文件 安装过程比较简单,如下: # 下载 $ mkdir -p ~/bin $ wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O ~/bin/cfssl $ wget...
cfssl创建ca证书,调整ca证书的有效期
zyj_csdn的博客
12-07 1791
1. 使用cfssl创建ca证书 1.1 生成ca证书的证书请求文件:ca-csr.json cfssl print-defaults csr > ca-csr.json 结果: cat ca-csr.json { "CN": "example.net", "hosts": [ "example.net", "www.example.net" ], "key": { "algo": "ecdsa", "s
使用cfssl为程序添加https证书
liuyij3430448的博客
04-02 1016
相关配置文件在 /config/demo1 下实例1:创建一个自定义的CA机构根证书,使用这个根证书实现对其他证书的颁发,让浏览器能够信息此证书例如自定义的CA机构名称为LYJCA , 要签发一个网址为 api.liuyijiang.com DV证书CA根证书就是一个自签名证书 可以使用./cfssl gencert -initca xx.json 命令创建在此之前先创建一个证书签名请求文件csr配置json可以使用先创建一个证书签名请求文件内容模板。
cfssl工具生成HTTPS证书来搭建Harbor镜像仓库
qq_45272030的博客
01-21 1327
cfssl工具生成HTTPS证书来搭建Harbor镜像仓库 cfssl工具生成HTTPS证书来搭建Harbor镜像仓库 离线部署Harbor(超详细) Harbor官方网站:http://vmware.github.io/harbor/ Harbor下载地址:https://github.com/vmware/harbor/ harbor的二进制包同时提供online(在线安装)和offline(离线安装)版本 Harbor安装方式 离线安装:资源包带offline,文件内含安装需要的一些镜像文件,容量就
K8S集群证书已过期且etcd和apiserver已不能正常使用下的恢复方案
weixin_30273175的博客
05-28 1165
在这种比较极端的情况下,要小心翼翼的规划和操作,才不会让集群彻底死翘翘。首先,几个ca根证书是10年期,应该还没有过期。我们可以基于这几个根证书,来重新生成一套可用的各组件认证证书。 前期,先制定以下方案步骤,能否实现,待验证。 一,制作证书的基本文件。 Ca-csr.json(因为根证书是OK的,所以这个文件,可是列在这里,不会用上) { "CN": "kubernetes",...
kubesphere设置nodePort端口范围
johnhuster的专栏
10-06 2431
kubesphere默认的NodePort端口范围为30000-32768,但是咱们可以修改这个范围,本文针对的kubesphere版本为3.1.1,修改/etc/kubernetes/manifests目录下的kube-apiserver.yaml文件,添加下面的配置 --service-node-port-range=1-65535 执行命令systemctl restart docker重启docker即可 ...
k8s使用harbor私有仓库镜像 —— 筑梦之路
最新发布
筑梦之路
04-17 358
官方文档:ImagePullSecrets的设置是kubernetes机制的另一亮点,习惯于直接使用Docker Pull来拉取公共镜像,但非所有容器镜像都是公开的。此外,并不是所有的镜像仓库都允许匿名拉取,也就是说需要身份认证;kubernetes有一个secret记录类型,可用于配置镜像登陆凭证,secret的一个特定的类型:kubernetes.io/dockercfg 或者 kubernetes.io/dockerconfigjson。
python学习笔记--皮大庆
08-14
《Python学习笔记》是由皮大庆编写的一本关于Python语言学习的教材。在这本书中,作者详细介绍了Python语言的基础知识、语法规则以及常用的编程技巧。 首先,作者简要介绍了Python语言的特点和优势。他提到,Python...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

软件工程小施同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值