k8s集群部署二(自签TLS证书)

最新推荐文章于 2022-08-11 14:51:00 发布
最新推荐文章于 2022-08-11 14:51:00 发布
阅读量553 收藏 1
点赞数
文章标签: 运维 json python
原文链接:https://my.oschina.net/u/3768341/blog/3010479
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

c9f5649dbe9b85d6e3cfe50aab114dcac6e.jpg

k8s的集群部署,不一定要使用证书,证书的作用是为了加密传输。所使用的加密方式是非对称加密RSA2048。

总共有3个证书工具:

首先在任意文件夹下建一个目录,比如ssl,下载这3个工具

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64

wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64

wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64

chmod 755 *

mv cfssl_linux-amd64 /usr/local/bin/cfssl

mv cfssljson_linux-amd64 /usr/local/bin/cfssljson

mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo

可以查看一下命令说明

# cfssl -help
Usage:
Available commands:
    sign
    version
    gencrl
    serve
    ocspdump
    info
    print-defaults
    certinfo
    ocspsign
    bundle
    genkey
    gencert
    ocsprefresh
    ocspserve
    selfsign
    scan
    revoke
Top-level flags:
  -allow_verification_with_non_compliant_keys
        Allow a SignatureVerifier to use keys which are technically non-compliant with RFC6962.
  -loglevel int
        Log level (0 = DEBUG, 5 = FATAL) (default 1)

生成两个模板文件

cfssl print-defaults config > config.json

# cat config.json 
{
    "signing": {
        "default": {
            "expiry": "168h"
        },
        "profiles": {
            "www": {
                "expiry": "8760h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth"
                ]
            },
            "client": {
                "expiry": "8760h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "client auth"
                ]
            }
        }
    }
}

包含签名,过期时间等等

cfssl print-defaults csr > csr.json

# cat csr.json 
{
    "CN": "example.net",
    "hosts": [
        "example.net",
        "www.example.net"
    ],
    "key": {
        "algo": "ecdsa",
        "size": 256
    },
    "names": [
        {
            "C": "US",
            "L": "CA",
            "ST": "San Francisco"
        }
    ]
}

包含域名,区域等等

当然这些只是模板文件,并不是我们真正使用的,我们真正使用的可以执行以下命令

cat > ca-config.json <<EOF
{
   "signing": {
     "default": {
       "expiry":"87600h"
     },
     "profiles": {
       "kubernetes": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
         ]
       }
     }
   }
}
EOF

执行以后可以看到多了一个ca-config.json的文件

cat > ca-csr.json <<EOF
{
   "CN": "kubernetes",
   "key": {
      "algo": "rsa",
      "size": 2048
   },
   "names": [
      {
         "C": "CN",
         "L": "Beijing",
         "ST": "Beijing",
         "O": "k8s",
         "OU": "System"
      }
   ]
}
EOF

执行以后多了一个ca-csr.json的文件

然后执行

# cfssl gencert -initca ca-csr.json | cfssljson -bare ca -
2019/02/15 11:27:46 [INFO] generating a new CA key and certificate from CSR
2019/02/15 11:27:46 [INFO] generate received request
2019/02/15 11:27:46 [INFO] received CSR
2019/02/15 11:27:46 [INFO] generating key: rsa-2048
2019/02/15 11:27:46 [INFO] encoded CSR
2019/02/15 11:27:46 [INFO] signed certificate with serial number 522234478678554843943438612699648327400263717044

生成我们需要的两个证书ca-key.pem,ca.pem

继续执行

cat > server-csr.json <<EOF
{
   "CN": "kubernetes",
   "hosts": [
      "10.10.10.1",
      "127.0.0.1",
      "172.18.98.47",
      "172.18.98.48",
      "172.18.98.46",
      "kubernetes.default",
      "kubernetes.default.svc",
      "kubernetes.default.svc.cluster",
      "kubernetes.default.svc.cluster.local"
   ],
   "key": {
      "algo": "rsa",
      "size": 2048
   },
   "names": [
      {
         "C": "CN",
         "L": "Beijing",
         "ST": "Beijing",
         "O": "k8s",
         "OU": "System"
      }
   ]
}
EOF

其中172.18.98.47等为你自己的IP地址,三台服务器的。此时可以看到生成了一个server-csr.json

生成证书

# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes server-csr.json | cfssljson -bare server
2019/02/15 11:51:04 [INFO] generate received request
2019/02/15 11:51:04 [INFO] received CSR
2019/02/15 11:51:04 [INFO] generating key: rsa-2048
2019/02/15 11:51:04 [INFO] encoded CSR
2019/02/15 11:51:04 [INFO] signed certificate with serial number 13508754972361930848639963529220936364095728469
2019/02/15 11:51:04 [WARNING] This certificate lacks a "hosts" field. This makes it unsuitable for
websites. For more information see the Baseline Requirements for the Issuance and Management
of Publicly-Trusted Certificates, v.1.1.6, from the CA/Browser Forum (https://cabforum.org);
specifically, section 10.2.3 ("Information Requirements").

此时多了两个文件server-key.pem和server.pem

继续执行

# cat > admin-csr.json <<EOF
{
   "CN": "admin",
   "hosts": [],
   "key": {
      "algo": "rsa",
      "size": 2048
   },
   "name": [
      {
        "C": "CN",
        "L": "Beijing",
        "ST": "Beijing",
        "O": "system:masters",
        "OU": "System"
      }
   ]
}
EOF

此时生成一个admin-csr.json

生成证书,这是一个权限的证书

# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin
2019/02/15 13:49:36 [INFO] generate received request
2019/02/15 13:49:36 [INFO] received CSR
2019/02/15 13:49:36 [INFO] generating key: rsa-2048
2019/02/15 13:49:37 [INFO] encoded CSR
2019/02/15 13:49:37 [INFO] signed certificate with serial number 128010541049789040815911678632547332318067283580
2019/02/15 13:49:37 [WARNING] This certificate lacks a "hosts" field. This makes it unsuitable for
websites. For more information see the Baseline Requirements for the Issuance and Management
of Publicly-Trusted Certificates, v.1.1.6, from the CA/Browser Forum (https://cabforum.org);
specifically, section 10.2.3 ("Information Requirements").

此时多了两个证书文件admin-key.pem和admin.pem

继续执行

# cat > kube-proxy-csr.json <<EOF
{
   "CN": "system:kube-proxy",
   "hosts": [],
   "key": {
      "algo": "rsa",
      "size": 2048
   },
   "names": [
     {
        "C": "CN",
        "L": "Beijing",
        "ST": "Beijing",
        "O": "k8s",
        "OU": "System"
     }
   ]
}
EOF

此时生成一个kube-proxy-csr.json

生成证书

# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy
2019/02/15 14:06:38 [INFO] generate received request
2019/02/15 14:06:38 [INFO] received CSR
2019/02/15 14:06:38 [INFO] generating key: rsa-2048
2019/02/15 14:06:39 [INFO] encoded CSR
2019/02/15 14:06:39 [INFO] signed certificate with serial number 563471985753033006864304507036823783228076641762
2019/02/15 14:06:39 [WARNING] This certificate lacks a "hosts" field. This makes it unsuitable for
websites. For more information see the Baseline Requirements for the Issuance and Management
of Publicly-Trusted Certificates, v.1.1.6, from the CA/Browser Forum (https://cabforum.org);
specifically, section 10.2.3 ("Information Requirements").

此时生成了kube-proxy-key.pem和kube-proxy.pem

现在所有的证书就生成完了。

# ll | grep pem
-rw------- 1 root root 1675 Feb 15 13:49 admin-key.pem
-rw-r--r-- 1 root root 1277 Feb 15 13:49 admin.pem
-rw------- 1 root root 1679 Feb 15 11:27 ca-key.pem
-rw-r--r-- 1 root root 1359 Feb 15 11:27 ca.pem
-rw------- 1 root root 1679 Feb 15 14:06 kube-proxy-key.pem
-rw-r--r-- 1 root root 1403 Feb 15 14:06 kube-proxy.pem
-rw------- 1 root root 1679 Feb 15 11:51 server-key.pem
-rw-r--r-- 1 root root 1602 Feb 15 11:51 server.pem

可以把之前的执行命令写入一个可执行文件certificate.sh中,方便以后进行一次性执行。

# chmod 755 certificate.sh

转载于:https://my.oschina.net/u/3768341/blog/3010479

weixin_33895475
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s(kubernates(如何部署)
_
02-18 2648
本文档最初是基于kubenetes1.6版本编写的,对于kuberentes1.8及以上版本同样适用,只是个别位置有稍许变动,变动的地方我将特别注明版本要求。 本系列文档介绍使用进制部署kubernetes集群的所有步骤,而不是使用kubeadm等自动化方式来部署集群,同时开启了集群TLS安全认证,该安装步骤适用于所有bare metal环境、on-premise环境和公有云环境。 如果您想快速的在自己电脑的本地环境下使用虚拟机来搭建kubernetes集群,可以参考本地分布式开发环境...
k8s单机搭建(无证书RPM版)
Kammingo的博客
11-27 474
环境介绍 设备IP:192.168.120.129 Centos7 步骤一、关闭防火墙、SELinux # systemctl stop firewalld # systemctl disable firewalld # setenforce 0 步骤、安装Docker # yum -y install docker # systemctl start docker # systemctl enable docker 步骤三、部署k8s所需软件 # yum -y install kubernet
Kubernetes 集群部署(1) -- 自签 TLS 证书
weixin_30457881的博客
03-13 110
集群功能各模块功能描述: Master节点:主要由四个模块组成,APIServer,schedule, controller-manager, etcd APIServer: APIServer负责对外提供RESTful的kubernetes API的服务,它是系统管理指令的统一接口,任何对资源的增删该查都要交给APIServer处理后再交给etcd,如图,kubectl(kubernetes...
进制部署K8s集群:(2) 设定自签证书
阿蔡的博客
10-14 805
设定自签证书,证书生成工具有很多,如openssl,这里使用cfssl证书生成工具。 cfssl是一个开源的证书管理工具,使用json文件生成证书,相比openssl更方便使用,找任意一台主机操作即可,这里在master节点操作。 一、安装CFSSL 由于CFSSL系列的工具都是独立的进制文件,所以下载相应的进制文件并赋予权限即可。 [root@master1 cert]# wget -c https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 [root@mast
Kubernetes (K8s)安装部署过程(一)之证书安装
云深海阔专栏
08-13 7547
一、安装前主题环境准备   1、docker安装   建议使用官网yum源安装,添加yum源之后,直接yum install docker即可   2、关闭所有节点的selinux   最好修改配置文件为disabled,而不是临时更改,避免以后重启引起不必要的麻烦   3、安装私有仓库环境Harbor   具体安装过程参考我的博客:https://blog.csdn.net/baidu_38432732/article/details/106430307   4、基本架构 IP 节点
K8s集群部署配置文件包
10-27
本压缩包“K8s集群部署配置文件包”提供了全面的资源,帮助用户快速构建并配置Kubernetes集群。以下将详细阐述其中涉及的关键知识点。 首先,ETCD是Kubernetes集群的核心组件,它是轻量级、分布式的键值存储系统,...
正式环境K8S集群部署文档.docx
07-19
本篇文档将详细阐述如何使用kubeadm工具在正式环境中搭建K8S集群。kubeadm是官方提供的一个简单易用的工具,它简化了集群初始化和节点加入的过程。 **一、kubeadm部署步骤** 1. **关闭防火墙**: 在部署K8S集群前...
K8S主机Prometheus监控ssl证书资源清单及镜像文件
01-14
在Kubernetes(K8S)集群环境中,监控是确保系统稳定性和高效运行的关键组成部分。Prometheus作为流行的开源监控...通过合理配置和使用,我们可以确保K8S集群中的SSL证书始终保持在最佳状态,从而保障服务的正常运行。
k8s容器集群讲义.zip
11-29
3. **应用部署**:通过编写YAML文件定义应用的配置,可以使用kubectl命令行工具将应用部署K8s集群。Deployment YAML会定义应用的版本、副本数和更新策略。 4. **服务发现与负载均衡**:Kubernetes Service提供了...
K8S集群ssl证书监控ssl-exporter资源清单文件及镜像文件
01-14
总结来说,`ssl-exporter`资源清单文件和镜像文件是K8S集群中监控SSL证书的关键组件。通过正确配置和部署,我们可以实时监控SSL证书的状态,预防因证书过期导致的服务中断,从而保障系统的安全性与稳定性。在使用...
重中之重-kubernetes集群部署(进制方法)
weixin_55609833的博客
08-13 611
重中之重-kubernetes集群部署kubernetes进制部署部署etcd集群签发证书环境 kubernetes进制部署 部署etcd集群 etcd是CoreOS团队于2013年6月发起的开源项目,它的目标是构建一个高可用的分布式键值(key-value) 数据库。etcd内部采用raft协议作为一致性 算法,etcd是go语言编写的。 etcd作为服务发现系统,有以下的特点: 简单:安装配置简单,而且提供了HTTP API进行交互,使用也很简单 安全:支持SSL证书验证 快速:单实例支持每秒2k
kubernetes使用进制方法安装部署k8s的v1.23版本安装步骤
久伴你逍遥风的博客
08-11 3542
进制安装k8s环境 @目录进制安装k8s环境前置环境准备及网段规划一、k8s基础环境准备1.1 配置静态IP1.2 配置主机名1.3 配置 hosts 文件1.4 免密登录1.5 关闭 firewalld 防火墙1.6 关闭 selinux1.7 关闭交换分区 swap1.8 修改内核参数1.9 配置阿里云 repo 源1.10 配置时间同步1.11 安装 iptables1.12 安装环境......
k8s集群进制安装--etcd集群部署
归来仍少年
09-28 346
2.etcd集群部署 2.1 cfssl工具安装 ##下载 wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 ##授权和命名 chmod a+x cffssl* mv cfssl_linux-amd64 /usr/local/bin/c
CC00052.CloudKubernetes——|KuberNetes&进制部署.V05|3台Server|——|证书生成|
yanqi_vip
03-29 387
一、生成证书: ### --- Master01下载生成证书工具(下载不成功可以去百度网盘)及创建资源目录 ~~~ etcd及kubernetes证书生成 ~~~ 进制安装最关键步骤,一步错误全盘皆输,一定要注意每个步骤都要是正确的 ### ---下载证书生成工具 [root@k8s-master01 ~]# wget "https://pkg...
kubernetes学习:3.创建tls证书和秘钥
linux_player_c(系统&开发)
04-01 5685
kubernete tls证书和秘钥 传输k8s各组件之间的通信可以使用http方式,但是为了安全起见,生产环境需要使用https方式通信,所以我们需要生成tls证书进行加密传输。 构建环境 再次介绍下我们本次搭建的环境: 节点名称 ip 配置 wecloud-test-k8s-1(master) 192.168.99.183 4核,4G,50G...
kubernetes证书过期处理
07-24 2115
一、过期信息 # kubectl get pod Unable to connect to the server: x509: certificate has expired or is not yet valid 、处理etcd证书 2.1、查看过期信息 # cd /etc/etcd/s...
K8S集群架构和证书
yan_0916的博客
02-26 4935
一、单节点集群架构1、解决存储2、管理K8S集群的操作,都需要在master上执行 一、单节点集群架构 master管理worker node 1、解决存储 ETCD 一般来说ETCD如果用于单master节点,ETcd只有一个, 多节点的K8S集群,假设master+worker node 一共20台以内,ETCD中的数据为2G 2、管理K8S集群的操作,都需要在master上执行 客户端管理工具,kubectl(命令行的基操)可以对yml文件进行转换成json并且对yml文件的语法进行检查 K8S安.
k8s 原生安全机制
leechm的博客
09-07 1161
目录 机制说明 Authentication 安全性说明 关于证书颁发 关于kubeconfig文件 ServiceAccount Secret 与 SA 的关系 鉴权 Authorization RBAC 授权模式 RBAC 的 API 资源对象说明 Role and ClusterRole RoleBinding and ClusterRoleBinding Resources to Subjects 实践:创建一个用户只能管理 dev 空间 1. 首先创建一个新的用户
kubernetes 源码安装1.18.3 (1)创建etcd证书
默子昂
12-09 874
"cfssl" 是一个开源的证书管理工具,使用 "json" 文件生成证书,相比 openssl 更方便使用。 (上面的话是网上摘的,也没感觉方便在那里,两个都在用) 拉取证书工具 curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bin/cfssl curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /usr/local/bin/cfsslj..
k8s集群部署keycloak
最新发布
09-21
k8s集群部署Keycloak,可以按照以下步骤进行操作: 1. 部署Keycloak YAML文件: ``` kubectl apply -f keycloak.yaml ``` 2. 生成TLS证书并创建TLS Secret: ``` kubectl create secret tls keycloak-tls...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值