etcd入门系列四:开启客户端证书访问

最新推荐文章于 2024-05-27 10:01:42 发布
最新推荐文章于 2024-05-27 10:01:42 发布
阅读量4.4k 收藏 3
点赞数 1
分类专栏: etcd 文章标签: etcd

etcd入门系列

一. etcd在docker中的安装与使用
二. etcd 开启 https
三. 身份验证访问控制
四. 开启客户端证书访问

1. 生成客户端证书

生成client.json:

$ cfssl print-defaults csr > client.json

编辑 client.json 的修改 CN 值为 cliet

...
    "CN": "client",
    "hosts": [""],
...

生成客户端证书

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=client client.json | cfssljson -bare client

将会得到如下文件

client-key.pem
client.csr
client.pem

2. 开启客户端证书检测

docker run -v /root/cfssl:/root/cfssl -p 2379:2379  --name etcd-net etcd /usr/local/bin/etcd  -name etcd-net  --client-cert-auth --trusted-ca-file=/root/cfssl/ca.pem --cert-file=/root/cfssl/server.pem --key-file=/root/cfssl/server-key.pem  -advertise-client-urls https://0.0.0.0:2379  -listen-client-urls https://0.0.0.0:2379

--client-cert-auth:当这个选项被设置时,etcd 将为受信任CA签名的客户端证书检查所有的传入的 HTTPS 请求,不能提供有效客户端证书的请求将会失败。
--trusted-ca-file=<path>: 受信任的认证机构

3. 验证配置

输入命令:

etcdctl --ca-file /root/cfssl/ca.pem --endpoints https://192.168.3.3:2379 set foo 1

返回结果:

routines:SSL3_READ_BYTES:sslv3 alert bad certificate
接下来,带着之前生成的证书尝试重新发送请求

etcdctl --ca-file /root/cfssl/ca.pem --cert-file /root/cfssl/client.pem --key-file /root/cfssl/client-key.pem --endpoints https://192.168.3.3:2379 set foo 1

//返回值:1

带上证书后访问可以如预期中进行,到此有关 etcd 的 安装,角色权限控制,客户端证书与服务端通讯已经完成,如果大家在使用过程中有什么问题,欢迎交流。

原文连接: http://www.artacode.com/posts/etcd/certificates/

云溪111
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
perl-net-etcd:Net :: Etcd etcd v3 gRPC网关Perl客户端
02-05
4. **gRPC网关**:在etcd v3中,gRPC网关允许不支持gRPC的客户端(如JavaScript在浏览器环境)通过RESTful API与etcd服务通信。Perl-net-etcd就是利用gRPC网关来实现与etcd的交互。 5. **Perl5**:Perl5是Perl语言...
使用etcdctl 获取 kubernetes etcd内容
云原生,DevOps,Kubernetes
03-27 730
kubernetes排错过程中可能需要连接到etcd库核对数据。通过etcdctl命令可以连接到库,查看etcd库中的key,value. # 创建一个etcdctl的别名 # 证书的位置可以通过查看kubelet 运行参数获取到。--etcd-cafile,--etcd-certfile, --etcd-keyfile $ alias etcdctl='etcdctl --key=/var/lib/etcd/cert/etcd-server-key.pem --cert=/var/lib/etcd/cer
etcd用户、角色及证书配置
zhangxm_qz的博客
11-17 8570
文章目录访问安全etcd权限分类etcd 访问控制传输安全生成证书配置使用证书 访问安全 在 2.1 版本之前, etcd 是 一个完全开放的系统,任何用户都可以通过 REST API 修改 etcd 存储的数据。 etcd 在 2.1 版本中增加了用户( User )和角色( Role )的概念,引入了用户认证的功能 。 为了保持向后兼容性和可升级性, etcd 的用户权限功能默认是关闭的 。 etcd 支持安全认证以及权限管理。 etcd 的权限管理借鉴了操作系统的权限管理思想,存在 用户和角色(分组
探索 dotnet-etcd:强大的 .NET 核心客户端库,解锁 etcd 的潜力
最新发布
gitblog_00073的博客
05-27 264
探索 dotnet-etcd:强大的 .NET 核心客户端库,解锁 etcd 的潜力 项目地址:https://gitcode.com/shubhamranjan/dotnet-etcd 如果你正在寻找一个可靠的 .NET Core 应用与 etcd 集群交互的工具,那么 dotnet-etcd 是你的理想选择。这是一个高效且易于使用的 GRPC 客户端,它完美支持 etcd v3 及更高版本。...
etcd管理,证书配置,扩展,迁移恢复,带证书扩展节点
github_35614077的博客
08-14 1532
广告 | kubernetes各版本离线安装包 etcd 证书配置 生产环境中给etcd配置证书相当重要,如果没有证书,那么k8s集群很容易被黑客利用而去挖矿什么的。做法非常简单,比如你下了一个不安全的镜像,通过程序扫描到etcd的ip和端口,那么黑客就可以绕开apiserver的认证直接写数据,写一些deployment pod等等,apiserver就会读到这些,从而去部署黑客...
kubernetes,ETCD灾备恢复,重新生成证书,重新生成配置文件
qq_22648091的博客
08-08 1770
备份原来的证书帮助信息生成新的证书
Kubernetes中的etcd访问
ruth13156402807的博客
02-13 1998
前言 Kubernetes中的etcd访问。 正常安装了k8s,没有特意去安装etcd,利用K8s中附带的etcd,感受一下etcd的读写操作。 提示:以下是本篇文章正文内容,下面案例可供参考 一、etcd是什么? etcd是一个分布式的key-value存储数据库。 二、使用步骤 1.在k8s查看安装好的etcd kubectl get pod -n kube-system | grep etcd 2.进入k8s的etcd kubectl exec -ti etcd-s205 -n kube-syste
nim-etcd-client:etcd客户端
02-02
**nim-etcd-client** 是一个基于 **Nim** 语言实现的客户端库,专门用于与分布式协调服务 **etcd** 进行交互。Nim 是一种静态类型的、编译成C/C++/JavaScript的现代编程语言,强调性能、可读性和简洁性。etcd,则是...
etcd3:etcd3的Node.js客户端
04-30
etcd3 etcd3是基于协议缓冲区的 v3 API的高质量,生产就绪客户端。 这包括:和管理并且对于TypeScript使用者而言是类型安全的。快速开始通过以下方式安装: npm install --save etcd3开始建造! const { Etcd3 } = ...
etcd-php:PHP 的 Etcd 客户端
08-04
PHP 的 Etcd 客户端etcd 是一个分布式配置系统,是 coreos 项目的一部分。 这个存储库为 PHP 应用程序的 etcd 提供了一个客户端库。 安装和运行 etcd git clone https://github.com/coreos/etcd.git cd etcd ./...
lua-etcd:etcd客户端模块
07-05
etcd.luasocket是基于luasocket的客户端。 local Etcd = require ( ' etcd.luasocket ' ); 相关模块 lua-etcd-resty: : 创建客户端对象 cli, err = Etcd.new( [option:table] ) local Etcd = require ( ' ...
ETCD 未授权访问实战案例
网络安全。
01-15 1515
3、通常情况下 etcd 所在 ip 即为 6443 管理端口所在 ip,探测后发现 6443 端口开放,接下来可通过 kubectl 操作 k8s。最终发现/registry/secrets/kube-system/tiller-token-vnnjg 为高权限 token。2、尝试在etcd里查询管理员的token,然后使用该token配合kubectl指令接管集群。pod 数量 131 个,实际容器数量大于等于 131 台。列出kube-system 下所有 pods。1、发现 etcd 未授权。
安装etcd集群:自签证书
eyeofeagle的博客
09-29 3425
1, 生成证书 #ca机构配置:有效期10年 cat > ca-config.json <<EOF { "signing": { "default": { "expiry": "87600h" }, "profiles": { "www": { "expiry": "87600h", "usa...
图解Kubernetes中的etcd访问
wuzd的专栏
01-23 1950
目录 文章目录 前言 一、etcd是什么? 二、使用步骤 1.在k8s查看安装好的etcd ​2.进入k8s的etcd 3.指定etcd的版本3 ​ 4.查看集群所有节点(etcdctl member list) ​ 5.写入测试数据(etcdctl put /testdir/testkey "Hello world1") 6.读出测试数据(etcdctl get /testdir/testkey) ​ 总结 文章目录 前言 一、pandas是什么? 二、使用步骤.
Etcd 配置详解
Jian Sun_的博客
03-25 5721
配置标记 etcd 可以通过命令行标记和环境变量来配置。命令行上设置的选项优先于环境变量。 对于标记 --my-flag 环境变量的格式是 ETCD_MY_FLAG。 适用于所有标记。 正式的ectd端口 是 2379 用于客户端连接,而 2380 用于伙伴通讯。etcd 端口可以设置为接受 TLS 通讯,non-TLS 通讯,或者同时有 TLS 和 non-TLS 通讯。 为了在 lin...
实战操作-介绍 ETCD 部署两种形式
Kubernetes云计算的专栏
08-10 1519
实战操作-介绍 ETCD 部署两种形式 1. 二进制部署 本文着重介绍集群采用二进制包安装 etcd 。以 etcd-v3.3.15为例。 假设: etcd1:10.16.11.180 etcd2:10.16.11.182 etcd3:10.16.11.181 三台主机从官方下载的发行版二进制包,手动部署,组成kubernetes etcd集群。 1.1 以下三台主机操作 #关闭防火墙 #systemctl stop firewalld #systemctl di.
etcd: java连接
amadeus_liu2的博客
03-31 587
1.修改pom.xml <dependency> <groupId>com.ibm.etcd</groupId> <artifactId>etcd-java</artifactId> <version>0.0.18</version> </dependency> 2.代码 package cisdi.cisdidatatransfer.service; import com.goo
ETCD 安全模式
专注基础架构领域
08-21 1318
etcd 支持自动 TLS 以及通过客户端证书的身份验证, 包括客户端到服务器以及对等(服务器到服务器/集群)的通信。 要开始运行,首先要为成员设置 CA 证书和已签名的密钥对。建议为集群中的每个成员创建并签署一个新的密钥对。 为方便起见,cfssl工具为证书生成提供了简单的界面,我们使用[这里]tls-setup的工具提供了示例。或者,尝试[生成自签名密钥对的指南]tls-guide。 一、基本设置 etcd 通过命令行标志或环境变量来设置几个与证书相关的配置选项: 1、客户端到服务器端通讯..
ETCD部署服务端、客户端证书生成访问
zorsea的博客
08-14 1051
cfssl print-defaults config > ca-config.json cfssl print-defaults csr > ca-csr.json
etcd实战及其原理分析.pdf
02-12
etcd实战及其原理分析

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值