(一)k8s之系统初始化及ca证书申请

最新推荐文章于 2024-07-04 22:08:37 发布
最新推荐文章于 2024-07-04 22:08:37 发布
阅读量585 收藏
点赞数
文章标签: json 运维 操作系统
原文链接:http://blog.51cto.com/1000682/2357204
版权

#(1)环境规划

master01 192.168.19.128 
master02 192.168.19.129 
node01 192.168.19.130 
node02 192.168.19.131 
中转机: 192.168.19.132

#(2)关闭防火墙, selinux以及安装docker;所有机器上都要操作

systemctl stop firewalld
systemctl  disable firewalld
sed -ri '/^SELINUX=/cSELINUX=disabled' /etc/selinux/config
setenforce 0
\cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
curl -o  /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
which ntpdate || yum install ntpdate -y 
ntpdate time.windows.com
curl -o /etc/yum.repos.d/docker-ce.repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
yum install docker-ce-17.06.0.ce-1.el7.centos.x86_64 -y
systemctl enable docker
systemctl start docker 
cat >> /etc/docker/daemon.json <<EOF
{
     "registry-mirrors": ["https://ui5lsypg.mirror.aliyuncs.com"]
}
EOF
sudo systemctl daemon-reload
sudo systemctl restart docker
mkdir /opt/kubernetes/{ssl,bin,cfg} -pv

#(3)在中转机器上安装cfssl证书生成工具

which wget || yum install wget -y 
test -d /tools || mkdir /tools 
cd /tools 
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x cfssl_linux-amd64 cfssljson_linux-amd64 cfssl-certinfo_linux-amd64
mv cfssl_linux-amd64 /usr/local/bin/cfssl
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
mv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo

#(4)在中转机器上生成及分发ca
配置生成ca证书的策略

#mkdir -pv  /temp/ssl && cd /temp/ssl 
#vi ca-config.json
{
"signing": {
        "default": {
            "expiry": "876000h"
        },
        "profiles": {
            "kubernetes": {
    "expiry": "876000h",
                "usages": [
                        "signing",
                        "key encipherment",
                        "server auth",
                        "client auth"
                ],
                "expiry": "876000h"
            }
        }
}
}

生成ca证书签署请求

#vi ca-csr.json
{
    "CN": "kubernetes",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "ST": "Hangzhou",
            "L": "Hangzhou",
            "O": "k8s",
            "OU": "System"
        }
    ]
}

生成ca证书 和私钥

#cfssl gencert -initca ca-csr.json | cfssljson -bare ca

把ca证书和ca私钥scp到master和node节点

scp ca*.pem  master01:/opt/kubernetes/ssl 
scp ca*.pem  master02:/opt/kubernetes/ssl 
scp ca*.pem  node02:/opt/kubernetes/ssl 
scp ca*.pem  node01:/opt/kubernetes/ssl

转载于:https://blog.51cto.com/1000682/2357204

weixin_33786077
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kubeadm初始化k8s证书过期解决方案
05-23
本文将详细介绍如何解决kubeadm初始化k8s证书过期的问题,并提供一种实用的方法来延长证书的有效期。 #### 查看证书有效时间 首先,我们需要确定当前证书的有效期。可以通过以下命令来查看证书的有效时间: ```...
k8s集群的CA证书过期处理
wzp1986的专栏
03-06 1044
不改变原CA的公私钥,安全地在线地更新集群CA
K8S 证书过期解决办法
热门推荐
海鸥
04-14 1万+
问题现象 K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问。 查看K8S的日志: Part of the existing bootstrap client certificate is expired: 2021-06-10 06:29:04 +0000 UT 这是说明k8s使用的证书过期了,k8s自带证书是一年的有效期。所以我们解决问题的办法就是更换证书。 一、确认K8S证书过期时间 查看k8s某一证书过期时间:
K8s 集群(kubeadm) CA 证书过期解决方案
最新发布
RAB
07-04 1216
K8s 集群(kubeadm) CA 证书过期解决方案。
K8s 中使用 cert-manager 申请免费 Https 证书
dotNET跨平台
01-22 1596
K8s 中使用 cert-manager 申请免费 Https 证书Intro最近在尝试将自己的应用从自己用 kind 部署的一个 k8s 集群迁移到 Azure 的 AKS 上,其中一个...
升级K8S证书有效期为100年操作说明
数通畅联
01-21 3976
之前K8S集群默认使用1年期限,现在已不能满足实际需要,需要升级K8S证书有效期为100年。本文针对升级k8S证书有效期为100年的操作进行说明讲解。
K8S集群申请Let‘s Encrypt证书
pleong的博客
05-24 755
K8S集群中部署cert-manager并申请Let's Encrypt证书,或者不依赖于K8S集群,直接安装certbot申请证书
k8s 1.23.17版本kubeadm 100年CA有效期
09-20
使用yum -y install kubelet-1.23.17 kubeadm-1.23.17 kubectl-1.23.17安装...初始化之前,用自编译 kubeadm替换官方的kubeadm:`/usr/bin/kubeadm`,可将证书过期时间改为 `100` 年,基于` 1.23.17` 版本的 kubernetes
用kubeadm方式部署k8s
02-11
Kubernetes(简称k8s)是Google开源的一种容器编排系统,用于自动化容器化的应用程序部署、扩展和管理。kubeadm是Kubernetes提供的一种简单、可靠的方式来在集群中初始化节点和搭建控制平面,使得部署Kubernetes变得...
K8s集群所有细节部署文档
03-17
2、系统初始化和全局变量 3、创建CA证书和密钥 4、部署kubectl命令行工具 5、部署etcd集群 6、部署flannel网络 7、部署master节点 8、部署woker节点 9、验证集群功能 10、部署集群插件 11、部署docker-registry 12、...
[云原生k8s] k8sCA证书创建和使用
weixin_71429850的博客
11-03 1899
Etcd 是一个分布式键值存储系统,Kubernetes 使用 Etcd 进行数据存储,所以先准备 一个 Etcd 数据库,为解决 Etcd 单点故障,应采用集群方式部署,这里使用 3 台组建集 群,可容忍 1 台机器故障,当然,你也可以使用 5 台组建集群,可容忍 2 台机器故障。ETCD_INITIAL_CLUSTER_STATE:加入集群的当前状态,new 是新集群,existing 表示加入 已有集群。ETCD_INITIAL_ADVERTISE_PEER_URLS:集群通告地址。
k8s使用外部ca证书
qyq88888的专栏
02-24 1600
k8s 使用 ca证书参考
[云原生k8s] k8sCA证书创建和使用及ETCD集群
m0_71521555的博客
11-03 1713
CA证书及ETCD集群部署
K8S部署步骤:2-创建ca证书与秘钥
bingzhilingyi的博客
08-15 4065
kubernetes系统各组件需要使用TLS(SSL)证书对通信进行加密,本文档使用CloudFlare的PKI工具集cfssl 来生成Certificate Authority (CA) 证书和秘钥文件,CA是自签名的证书,用来签名后续创建的其它TLS证书。 在所有节点安装cfssl $ wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd6...
认证插件
邓乐来Jacob的博客
07-01 523
Kubernetes使用客户端证书,令牌,或者HTTP基本身份验证用户的API调用。在API服务器中配置—client-ca-file=SOMEFILE选项,就会启动客户端证书认证。引用文件必须包含一个或多个认证机制,通过认证机制验证传给API服务器的客户端证书。当一个客户端证书通过认证,该证书主题的名字就被作为该请求的用户名。在API服务器中配置选项:–token-auth-file=SOMEF...
K8s-创建CA证书和秘钥.02
Vv的博客
01-02 2157
内容转载自:https://github.com/opsnull/follow-me-install-kubernetes-cluster/blob/master/02.%E5%88%9B%E5%BB%BACA%E8%AF%81%E4%B9%A6%E5%92%8C%E7%A7%98%E9%92%A5.md 上一篇:K8s-系统初始化.01 为确保安全,kubernetes 系统各组件需要使用 ...
k8s证书认证
weixin_33955681的博客
06-21 4744
kubernetes 提供了多种安全认证机制, 其中对于集群通讯间可采用 TLS(https) 双向认证机制,也可采用基于 Token 或用户名密码的单向 tls 认证。k8s一般在内网部署,采用私有 IP 地址进行通讯,权威CA只能签署域名证书,我们这里采用自建CA。创建TLS证书和秘钥步鄹1.下载安装SSL,下载cfssl工具:https://pkg.cfssl.org/...
导入 k8s 集群更新 CA 证书后 Rancher 端的配置操作
IT老男孩
01-11 1338
本文永久链接: https://www.xtplayer.cn/rancher/import-k8s-cluster-update-ca/在早期的 rancher 版本中,如果导入的业务 K8S 集群因为证书到期重新生成了证书(包括 kube-ca 证书),这个时候在 Rancher UI shell 终端中执行命令时会报 x509 错误,UI 的一些操作也会报 x509 相关的错误,即使重启集群...
k8s初始化集群命令及可用参数
08-21
kubeadm是用于初始化K8s集群的命令行工具,它提供了一组参数来配置K8s集群。 以下是kubeadm初始化集群的命令及可用参数示例: 1. 初始化Master节点: ``` kubeadm init ``` 2. 指定Pod网络: ``` kubeadm ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值