kubernetes证书

最新推荐文章于 2024-07-28 00:02:30 发布
最新推荐文章于 2024-07-28 00:02:30 发布
阅读量598 收藏
点赞数
文章标签: kubernetes openssl etcd 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangjianglinwan/article/details/105603057
版权
本文介绍了使用kubeadm初始化Kubernetes集群时如何自建CA并生成各种所需证书的过程,包括apiserver、apiserver访问Kubelet的客户端证书、sa.key和sa.pub以及etcd的私钥和证书。证书存放于/etc/kubernetes/pki目录下,详细分析了ca.crt的属性,以及apiserver.crt和apiserver-etcd-client.crt的签发验证。
摘要由CSDN通过智能技术生成

kubeadm init 生成私钥与证书
1,自建CA,生成ca.crt 和cd,key
2,apiserver 的私钥与公钥证书
3,apiserver 访问Kubelet使用的客户端私钥与证书
4,sa.key 和sa.pub
5,etcd相关私钥和数字证书

路径:/etc/kubernete/pki

[root@k8s-master pki]# pwd
/etc/kubernetes/pki
[root@k8s-master pki]# ls
apiserver.crt              apiserver.key                 ca.crt  front-proxy-ca.crt      front-proxy-client.key
apiserver-etcd-client.crt  apiserver-kubelet-client.crt  ca.key  front-proxy-ca.key      sa.key
apiserver-etcd-client.key  apiserver-kubelet-client.key  etcd    front-proxy-client.crt  sa.pub

kubeadm 自建ca.crt ca.key,签发集群需要的其他证书

ca.crt是标准的x509版本的证书,查看ca.crt

[root@k8s-master pki]# openssl x509 -in ca.crt -noout -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 0 (0x0)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=kuber
最低0.47元/天 解锁文章
apolloKwong
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kubernetes证书篇:手动生成二进制kubernetes集群相关证书
东城绝神
04-24 1793
《《Kubernetes证书篇:二进制手动生成kubernetes集群相关证书
kubernetes 设置CA双向数字证书认证
weixin_34252090的博客
01-14 469
2019独角兽企业重金招聘Python工程师标准>>> ...
【博客535】k8s证书原理:各类证书作用
qq_43684922的博客
11-13 2824
我们其实可以使用多个不同的 CA 来颁发这些证书。只要在通信的组件中正确配置用于验证对方证书的 CA 根证书,就可以使用不同的 CA 来颁发不同用途的证书。但我们一般建议采用统一的 CA 来颁发 kubernetes 集群中的所有证书,这是因为采用一个集群根 CA 的方式比采用多个 CA 的方式更容易管理,可以避免多个CA 导致的复杂的证书配置、更新等问题,减少由于证书配置错误导致的集群故障。
k8s证书续期及版本升级
最新发布
geriletuma
07-28 390
k8s证书续期及版本升级
K8S安装异常篇:通过Coredns解决执行 kubeadm init卡住Pulling images required for setting up a Kubernetes cluster
凡解的博客
05-03 1744
【代码】K8S安装异常篇:通过Coredns解决执行 kubeadm init卡住Pulling images required for setting up a Kubernetes cluster。
k8s修改apiserver证书可用年限
qq_61855329的博客
10-30 550
使用 kubeadm 部署的 K8S 集群中,apiserver 证书的默认可用年限只有一年。如果直接用在生产环境,当证书过期后会造成 K8S 集群瘫痪,从而影响现网业务。2,查看 apiserver 证书信息,默认可用年限只有一年。3,查看 ca 证书信息,默认可用年限为10年。1,查看 K8S 集群所有证书存放位置。6,更新个节点证书到master。5,更新kubeadm。4,修改证书可用年限。
阿里云搭建k8s kubeadm init失败的原因
cxfTrue
09-17 7367
使用阿里云搭建k8s时,在主节点执行kubeadm init时候卡在 Waiting for the kubelet to boot up the control plane as static Pods from directory "/etc/kubernetes/manifests". This can take up to 4m0 这是因为kubeadm init 指定了"--apiserver-advertise-address"为公网ip,但是阿里云的机器是vpc网络,使用ifconfig
Kubernetes 证书一键生成(包含 etcd 证书)
04-30
"Kubernetes证书一键生成"项目正是为了简化这个过程,它包含了自动化生成Kubernetes及其组件etcd所需证书的工具和配置文件。让我们深入了解一下这个过程以及相关知识点。 **Kubernetes证书的作用** 在Kubernetes中...
使用OpenSSL生成Kubernetes证书的介绍
09-30
Kubernetes集群中,安全通信是至关重要的,而证书扮演着关键角色。...通过本文,你应该对如何使用OpenSSL生成Kubernetes证书有了基本的认识,这对于你的Kubernetes集群管理和运维工作将大有裨益。
apiserver启动证书认证
国产-达芬奇
01-13 442
- --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt - --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt - --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt - --tls-private-key-file...
k8s使用外部ca证书
qyq88888的专栏
02-24 1640
k8s 使用 ca证书参考
[转帖]kubeadm 实现细节
weixin_30556959的博客
08-20 451
kubeadm 实现细节 http://docs.kubernetes.org.cn/829.html 1核心设计原则 2常量和众所周知的值和路径 3kubeadm init 工作流程内部设计 3.1预检检查 3.2生成必要的证书 3.3为控制平面组件生成 kubeconfig 文件 3.4为控制平面组件生成静态 Pod 清单 3.4.1API...
kubesphere解决etcd监控证书找不到问题
学亮编程手记
01-26 1783
kubectl -n kubesphere-monitoring-system create secret generic kube-etcd-client-certs --from-file=etcd-client-ca.crt=/etc/kubernetes/pki/etcd/ca.crt --from-file=etcd-client.crt=/etc/kubernetes/pki/apiserver-etcd-client.crt --from-file=etcd-client.key=/et
kube 之apiServer学习
一直行走在路上
04-27 1万+
apiserver相当于是k8集群的一个入口,不论通过kubectl还是使用remote api 直接控制,都要经过apiserverapiserver说白了就是一个server负责监听指定的端口. main函数的代码位于./kubernetes/cmd/kube-apiserver: func main() { runtime.GOMAXPROCS(runtime.NumCPU
kubernetes/k8s概念】k8s 坑问题汇总
热门推荐
zhonglinzhang
12-26 3万+
1.Pod始终处于Pending状态 如果Pod保持在Pending的状态,意味着无法被正常的调度到节点上。由于某种系统资源无法满足Pod运行的需求 系统没有足够的资源:已经用尽了集群中所有的CPU或内存资源。需要清理一些不在需要的Pod,调整它们所需的资源量,或者向集群中增加新的节点。 用户指定了hostPort:通过hostPort用户能够将服务暴露到指定的主机端口上,会限......
Kubernetes 证书默认1年过期时间修改
运维那些事儿
05-18 1060
使用过的kubeadm搭建K8s集群的朋友知道,默认自动生成的证书有效期只有 1 年,因此需要每年手动更新一次证书,这种形式显然对实际生产环境来说很不友好;因此下面教给大家修改这个过期时间的终极方法。 1、查看当前证书有效期 # 证书存放在: /etc/kubernetes/pki 目录下 $ ls -lh /etc/kubernetes/pki -rw-r--r-- 1 root root 1212 May 19 14:01 apiserver.crt -rw-r--r-- 1 root root 109
kubernetes 证书详解
Kry1702的博客
03-21 1793
类型 CA CN 认证 描述 官方 Etcd etcd/ca.crt,key server.crt,key server, client 对外提供服务 kube-etcd peer.crt,key server, cl...
[云原生k8s] k8s的CA证书创建和使用及ETCD集群
m0_71521555的博客
11-03 1732
CA证书ETCD集群部署
Kubernetes证书工作机制详解:制作与使用方式详解
要制作一个Kubernetes证书,首先需要生成一个私钥,然后使用私钥向CA请求签发证书。在Kubernetes中,通常使用OpenSSL或者EasyRSA等工具来生成私钥和证书请求。在请求签发证书时,需要将证书请求发送给CA,CA会对请求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值