etcd-集群部署,基于ssl认证的节点间通信,客户端基于ssl客户端证书访问。

已于 2022-05-07 09:54:05 修改
阅读量3.1k 收藏 4
点赞数
分类专栏: go 文章标签: 运维
于 2022-04-25 16:06:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wchao111111/article/details/124404694
版权

1环境准备:

1.1 主机以及操作系统

主机地址操作系统
etcd-1192.168.234.100debian11
etcd-2192.168.234.101debian11
etcd-3192.168.234.102debian11

1.2 软件版本

openssl: openssl-1.1.1n

etcd: etcd-v3.5.3-linux-amd64.tar.gz

2.自签名证书

2.1 ca证书

openssl genrsa -out ca.key 2048 #私钥
openssl req -x509 -new -nodes -key ca.key -subj="/CN=192.168.234.100" -days 36500 -out ca.crt #根证书
mkdir -p /data/ssl/
mv ca.key ca.crt /data/ssl/

2.2 etcd_server ssl证书用于集群节点的验证

2.2.1 生成key

openssl genrsa -out etcd_server.key 2048

2.2.2 配置x509V3配置文件

vim etcd_ssl.conf

配置文件如下:

[req]
distinguished_name     = req_distinguished_name
extensions_name  = @v3_req

[req_distinguished_name]

[v3_req]
basicConstraints = CA:FALSE
keyUsage=digitalSignature, nonRepudiation, keyEncipherment
subjectAltName = @alt_names

[alt_names]
IP.1 = 192.168.234.100
IP.2 = 192.168.234.101
IP.3 = 192.168.234.102

2.2.3 签名证书:

openssl req -new -key etcd_server.key -config etcd_ssl.conf -subj="/CN=etcd-server" -out etcd_server.csr
openssl x509 -req -in etcd_server.csr -CA /data/ssl/ca.crt -CAkey /data/ssl/ca.key -CAcreateserial -days 36500 -extensions v3_req -extfile etcd_ssl.cnf -out etcd_server.crt

2.2.4 生成客户端证书

openssl genrsa -out etcd_client.key 2048
openssl req -new -key etcd_client.key -config etcd_ssl.conf -subj="/CN=etcd-client" etcd_client.csr
openssl x509 -req in ectd_client.csr -CA /data/ssl/ca.crt -CAkey /data/ssl/ca.key -CAcreateserial -days 36500 -extensions v3_req -extfile etcd_ssl.conf -out etcd_client.crt

mkdir -p /etc/etcd/pki
mv etcd_*.key /etc/etcd/pki
mv etcd_*.crt /etc/etcd/pki

3.安装etcd

去官方下载etcd的二进制包:

需分别在三台主机上操作,另证书也需要复制到另外两个节点上

tar xf etcd-v3.5.3-linux-amd64
cd etcd-v3.5.3-linux-amd64
cp etcd etcdctl /usr/bin

#配置etcd为systemd管理的服务

vim /usr/lib/systemd/system/etcd.service
[Unit]
Description=etcd
Documentation=https://github.com/etcd.io/etcd
After=network.target

[Service]
EnvironmentFile=/etc/etcd/etcd.conf
ExecStart=/usr/bin/etcd
Restart=always

[Install]
WantedBy=multi-user.target
#以上命令需要在三台服务器上执行



#192.168.234.100上配置
vim /etc/etcd/etcd.conf

ETCD_NAME=etcd1
ETCD_DATA_DIR=/etc/etcd/data

ETCD_CERT_FILE=/etc/etcd/pki/etcd_server.crt
ETCD_KEY_FILE=/etc/etcd/pki/etcd_server.key
ETCD_TRUSTED_CA_FILE=/etc/kubernetes/pki/ca.crt
ETCD_CLIENT_CERT_AUTH=true
ETCD_LISTEN_CLIENT_URLS=https://192.168.234.100:2379
ETCD_ADVERTISE_CLIENT_URLS=https://192.168.234.100:2379
ETCD_PEER_CERT_FILE=/etc/etcd/pki/etcd_server.crt
ETCD_PEER_KEY_FILE=/etc/etcd/pki/etcd_server.key
ETCD_PEER_TRUSTED_CA_FILE=/etc/kubernetes/pki/ca.crt
ETCD_LISTEN_PEER_URLS=https://192.168.234.100:2380
ETCD_INITAIL_ADVERTISE_PEER_URLS=https://192.168.234.100:2380

ETCD_INITAIL_CLUSTER_TOKEN=etcd-cluster
ETCD_INITAIL_CLUSTER="etcd1=https://192.168.234.100:2380,etcd2=https://192.168.234.101:2380,etcd3=https://192.168.234.102:2380"
ETCD_INITAIL_CLUSER_START=new

#192.168.234.101上配置
vim /etc/etcd/etcd.conf
ETCD_NAME=etcd2
ETCD_DATA_DIR=/etc/etcd/data

ETCD_CERT_FILE=/etc/etcd/pki/etcd_server.crt
ETCD_KEY_FILE=/etc/etcd/pki/etcd_server.key
ETCD_TRUSTED_CA_FILE=/etc/kubernetes/pki/ca.crt
ETCD_CLIENT_CERT_AUTH=true
ETCD_LISTEN_CLIENT_URLS=https://192.168.234.101:2379
ETCD_ADVERTISE_CLIENT_URLS=https://192.168.234.101:2379
ETCD_PEER_CERT_FILE=/etc/etcd/pki/etcd_server.crt
ETCD_PEER_KEY_FILE=/etc/etcd/pki/etcd_server.key
ETCD_PEER_TRUSTED_CA_FILE=/etc/kubernetes/pki/ca.crt
ETCD_LISTEN_PEER_URLS=https://192.168.234.101:2380
ETCD_INITAIL_ADVERTISE_PEER_URLS=https://192.168.234.101:2380

ETCD_INITAIL_CLUSTER_TOKEN=etcd-cluster
ETCD_INITAIL_CLUSTER="etcd1=https://192.168.234.100:2380,etcd2=https://192.168.234.101:2380,etcd3=https://192.168.234.102:2380"
ETCD_INITAIL_CLUSER_START=new

#192.168.234.102上配置
vim /etc/etcd/etcd.conf

ETCD_NAME=etcd3
ETCD_DATA_DIR=/etc/etcd/data

ETCD_CERT_FILE=/etc/etcd/pki/etcd_server.crt
ETCD_KEY_FILE=/etc/etcd/pki/etcd_server.key
ETCD_TRUSTED_CA_FILE=/etc/kubernetes/pki/ca.crt
ETCD_CLIENT_CERT_AUTH=true
ETCD_LISTEN_CLIENT_URLS=https://192.168.234.102:2379
ETCD_ADVERTISE_CLIENT_URLS=https://192.168.234.102:2379
ETCD_PEER_CERT_FILE=/etc/etcd/pki/etcd_server.crt
ETCD_PEER_KEY_FILE=/etc/etcd/pki/etcd_server.key
ETCD_PEER_TRUSTED_CA_FILE=/etc/kubernetes/pki/ca.crt
ETCD_LISTEN_PEER_URLS=https://192.168.234.102:2380
ETCD_INITAIL_ADVERTISE_PEER_URLS=https://192.168.234.102:2380

ETCD_INITAIL_CLUSTER_TOKEN=etcd-cluster
ETCD_INITAIL_CLUSTER="etcd1=https://192.168.234.100:2380,etcd2=https://192.168.234.101:2380,etcd3=https://192.168.234.102:2380"
ETCD_INITAIL_CLUSER_START=new

4.启动服务,进行集群检测

systemctl restart etcd #三台服务器上均需执行

#找一台执行皆可
etcdctl --cacert=/data/ssl/ca.crt --cert=/etc/etcd/pki/etcd_client.crt --key=/etc/etcd/pki/etcd_client.key --endpoints=https://192.168.234.100:2379,https://192.168.234.101:2379,https://192.168.234.102:2379 endpoint health

#输出如下表示集群状态是健康
https://192.168.234.101:2379 is healthy: successfully committed proposal: took = 86.514806ms
https://192.168.234.100:2379 is healthy: successfully committed proposal: took = 86.969426ms
https://192.168.234.102:2379 is healthy: successfully committed proposal: took = 75.791531ms

飘过的倦
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
etcd-v3.5.0-linux-amd64.tar.gz
07-17
etcd 数据库 amd64版本
openssl 生成X509 V3的根证书及签名证书
热门推荐
冰冻三尺非一日之寒
05-16 1万+
openssl 生成X509 V3的根证书及签名证书在测试的时候有时需要使用证书。因此使用OpenSSL创建自签名根证书,使用根证书签发证书显得很重要。1、生成根证书及自签名证书1.创建根证私钥    openssl genrsa -out root-key.key 10242.创建根证书请求文件    openssl req -new -out root-req.csr -key root-ke...
Etcd教程 — 第四章 Etcd集群安全配置_etcd 集群配置
最新发布
2401_84239625的博客
04-28 919
本文是在Etcd教程 — 第二章 Etcd集群静态发现 2.3节基础上进行的。: 用于服务端认证客户端,例如etcdctl、etcd proxy、fleetctl、docker客户端。: 服务端使用,客户端以此验证服务端身份,例如docker服务端、kube-apiserver。: 双向证书,用于etcd集群成员间通信
kubernetes,ETCD灾备恢复,重新生成证书,重新生成配置文件
qq_22648091的博客
08-08 1754
备份原来的证书帮助信息生成新的证书
openssl生成CA证书,服务端证书客户端证书
Amorbcbc的博客
07-10 1081
1.2将OpenSSL-Win64\bin\cnf中的openssl.cnf复制到上述新建的ssl目录中。参考这篇博客,将其中的一些换成了windows的命令行,记录一下方便自己以后查看。回到ssl目录,将新建的证书保存在其中。
etcd之安全性阐述
不务正业随手记
08-26 1292
etcd安全是指安全模式下etcd的运行状态,接下来从访问安全和传输安全两方面来阐述etcd的安全性访问安全包括用户的认证和授权,传输安全指使用SSL/TLS来加密数据通道 访问安全 用户权限功能在etcd 2.1之后增加的,在2.1版本之前,etcd是一个完全开放的系统,任何用户都可以通过REST API修改etcd存储的数据。etcd在2.1中增加了用户(User)和角色(Role)的概念,引入了用户认证的功能。为了保证向后兼容和可升级性,etcd的用户权限功能默认关闭。 无论数据信道是否经过加密(SS
etcd-v2.3.4-linux-amd64
03-12
6. 安全通信:etcd支持SSL/TLS加密,可以保护数据在传输过程中的安全性,防止未授权访问。 7. 持久化:etcd将数据存储在磁盘上,即使服务重启,之前的状态也会被恢复,确保服务的连续性。 8. Watch机制:etcd的...
ansible-role-etcd:安装etcd集群的角色
01-31
7. **安全性**:配置SSL/TLS加密以增强通信安全,防止未授权访问。 ### Playbook和Role结构 在Ansible中,Playbook是执行任务的剧本,而Role是可复用的、组织良好的任务集合。`ansible-role-etcd` 可能包含以下...
etcd-v3.1.20-linux-amd64.tar.gz.zip
12-12
5. **安全性**:etcd 可以配置 SSL/TLS 加密,保证通信的隐私性和完整性。同时,通过 ACL 系统可以限制对 etcd 数据的访问权限。 6. **备份与恢复**:etcd 提供了备份和恢复机制,可以通过导出快照文件并导入来恢复...
windows64位etcdetcd-v3.0.17-windows-amd64.zip
05-13
在分布式系统中,etcd作为可靠的数据存储中心,使得各个服务可以方便地获取和更新配置信息,同时也支持服务间的发现和通信。 **etcd在Windows 64位环境中的应用** "windows64位etcdetcd-v3.0.17-windows-amd64....
Go-etcdircd基于etcd的加密irc守护进程
08-14
1. **基于etcd的服务发现**:通过etcd,Go-etcdircd能够动态地发现和跟踪IRC服务器的状态,允许客户端灵活地连接到可用的服务器节点,提高了系统的容错性和可靠性。 2. **加密通信**:考虑到网络安全的重要性,Go-...
etcd-v3.5.0-linux-arm64.tar.gz
07-17
etcd 分布式数据库 arm64版本
Etcd clientV3 配置TLS证书
jinjiangcc
02-19 2612
确保集群证书使用正确 ClientV3配置证书非常简单,进入源码首先可以看到Config中TLS配置使用的是标准包的tls.Config type Config struct { ... TLS *tls.Config ... } 构建一个标准包的*tls.Config tlsInfo := transport.TLSInfo{ CertFile: `client.pe...
Spring Cloud 整合 etcd并设置SSL
jiangxiaoyi_07的博客
03-24 992
etcd是基于go语言实现,主要是用于配置分享和服务发现的一个组件,最初用于解决集群管理系统中os升级时的分布式并发控制、配置文件的存储与分法等问题。因此,etcd是在分布式系统中提供强一致性、高可用性的组件,用来存储少量重要的数据。
184. 【kubernetes】二进制文件方式安装-Kubernetes-集群(一)
七镜的博客
02-22 107
etcd 节点的配置方式包括启动参数、环境变量、配置文件等,本例使用环境变量方式将其配置到 /etc/etcd/etcd.conf 文件中,供 systemd 服务读取。从 Github 官网下载 etcd 二进制文件,解压缩后得到 etcdetcdctl 文件,将它们复制到 /usr/bin 目录下。下载地址:https://github.com/etcd-io/etcd/releases/tag/v3.5.1。接下来先对 etcd 需要的 CA 证书配置进行说明。
搭建和使用etcd
勿忘初心
09-10 1381
从零开始搭建etcd分布式存储系统+web管理界面 目录 什么是ETCD 一.安装 二.搭建单机版 三.搭建集群版 四.监听功能-watch 五.使用rest api 六.可视化界面 etcd-browser etcdkeeper 什么是ETCD 随着CoreOS和Kubernetes等项目在开源社区日益火热,它们项目中都用到的etcd组件作为一个高可用、强一致性的服务发现存储仓库,渐渐为开发人员所关注。 在云计算时代,如何让服务快速透明地接入到计算集群中,如何让共享配置
认识etcd
qiaotl的博客
07-01 664
演示如何启动etcd,写入、查看数据以及如何签发证书通过https方式访问etcd
Etcd 配置详解
Jian Sun_的博客
03-25 5713
配置标记 etcd 可以通过命令行标记和环境变量来配置。命令行上设置的选项优先于环境变量。 对于标记 --my-flag 环境变量的格式是 ETCD_MY_FLAG。 适用于所有标记。 正式的ectd端口 是 2379 用于客户端连接,而 2380 用于伙伴通讯。etcd 端口可以设置为接受 TLS 通讯,non-TLS 通讯,或者同时有 TLS 和 non-TLS 通讯。 为了在 lin...
[云原生k8s] k8s的CA证书创建和使用
weixin_71429850的博客
11-03 1879
Etcd 是一个分布式键值存储系统,Kubernetes 使用 Etcd 进行数据存储,所以先准备 一个 Etcd 数据库,为解决 Etcd 单点故障,应采用集群方式部署,这里使用 3 台组建集 群,可容忍 1 台机器故障,当然,你也可以使用 5 台组建集群,可容忍 2 台机器故障。ETCD_INITIAL_CLUSTER_STATE:加入集群的当前状态,new 是新集群,existing 表示加入 已有集群ETCD_INITIAL_ADVERTISE_PEER_URLS:集群通告地址。
SSL双向认证握手过程 非常详细
08-03
SSL双向认证握手过程 非常详细

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值