k8s-1.9.1-步骤三(创建证书)

最新推荐文章于 2022-11-13 16:19:37 发布
最新推荐文章于 2022-11-13 16:19:37 发布
阅读量2.6k 收藏 2
点赞数
分类专栏: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35494719/article/details/79830202
版权
----------------------------------------------------------------------------------------------------------------------------
执行主机:192.168.1.15or16or18
创建admin-csr.json
cat >/root/kubernetes/server/bin/ssl/admin-csr.json <<'HERE'
{
"CN": "admin",
"hosts": [],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "Shenzhen",
"L": "Shenzhen",
"O": "system:masters",
"OU": "System"
}
]
}
HERE

创建k8s-gencert.json
cat >/root/kubernetes/server/bin/ssl/k8s-gencert.json <<'HERE'
{
"signing": {
"default": {
"expiry": "87600h"
},
"profiles": {
"kubernetes": {
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
],
"expiry": "87600h"
}
}
}
}
HERE

创建k8s-root-ca-csr.json
cat >/root/kubernetes/server/bin/ssl/k8s-root-ca-csr.json <<'HERE'
{
"CN": "kubernetes",
"key": {
"algo": "rsa",
"size": 4096
},
"names": [
{
"C": "CN",
"ST": "Shenzhen",
"L": "Shenzhen",
"O": "k8s",
"OU": "System"
}
]
}
HERE

创建kube-proxy-csr.json
cat >/root/kubernetes/server/bin/ssl/kube-proxy-csr.json <<'HERE'
{
"CN": "system:kube-proxy",
"hosts": [],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "Shenzhen",
"L": "Shenzhen",
"O": "k8s",
"OU": "System"
}
]
}
HERE

创建kubernetes-csr.json
#注:此处需要将dns首ip,etcd,k8s-master,k8s-node节点的ip都填上
cat >/root/kubernetes/server/bin/ssl/kubernetes-csr.json <<'HERE'
{
"CN": "kubernetes",
"hosts": [
"127.0.0.1",
"192.168.1.15",
"192.168.1.16",
"192.168.1.18",
"10.254.0.1",
"kubernetes",
"kubernetes.default",
"kubernetes.default.svc",
"kubernetes.default.svc.cluster",
"kubernetes.default.svc.cluster.local"
],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "Shenzhen",
"L": "Shenzhen",
"O": "k8s",
"OU": "System"
}
]
}
HERE
----------------------------------------------------------------------------------------------------------------------------
执行主机:192.168.1.15or16or18
生成通用证书以及kubeconfig
进入ssl目录,共创建了五个文件cd /root/kubernetes/server/bin/ssl/


生成证书
cfssl gencert --initca=true k8s-root-ca-csr.json | cfssljson --bare k8s-root-ca

for targetName in kubernetes admin kube-proxy; do cfssl gencert --ca k8s-root-ca.pem --ca-key k8s-root-ca-key.pem --config k8s-gencert.json --profile kubernetes $targetName-csr.json | cfssljson --bare $targetName done


----------------------------------------------------------------------------------------------------------------------------
执行主机:192.168.1.15or16or18
生成kubectl配置
注:此处定义api-server的服务ip,此处用为以后HA模式准备,所以配置127.0.0.1,如果你的master是单节点,请配置成单个apiserver:6443的ip即可
注:我做的3master+node,但是没做ha,这里要每台指定各自的ip
export KUBE_APISERVER="https://192.168.1.15:6443"
cd /root/kubernetes/server/bin/ssl/
export KUBE_APISERVER="https://192.168.1.15:6443"
export BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ')
echo "Tokne: ${BOOTSTRAP_TOKEN}"


cat > token.csv <<EOF${BOOTSTRAP_TOKEN},kubelet-bootstrap,10001,"system:kubelet-bootstrap"EOF
注:会创建一个token.csv文件

echo "Create kubelet bootstrapping kubeconfig..."
将k8s-root-ca.pem,apiserver地址写入bootstrap.kubeconfig文件
kubectl config set-cluster kubernetes \
--certificate-authority=k8s-root-ca.pem \
--embed-certs=true \
--server=${KUBE_APISERVER} \
--kubeconfig=bootstrap.kubeconfig
注:会创建一个bootstrap.kubeconfig文件

bootstrap.kubeconfig文件内容


将token.csv文件内容写入bootstrap.kubeconfig文件
kubectl config set-credentials kubelet-bootstrap \
--token=${BOOTSTRAP_TOKEN} \
--kubeconfig=bootstrap.kubeconfig

bootstrap.kubeconfig文件内容


设置set-context环境项,kubelet-bootstrap用户
kubectl config set-context default \ --cluster=kubernetes \ --user=kubelet-bootstrap \ --kubeconfig=bootstrap.kubeconfig

bootstrap.kubeconfig文件内容


将set-context写入bootstrap.kubeconfig文件
kubectl config use-context default --kubeconfig=bootstrap.kubeconfig
bootstrap.kubeconfig文件内容


echo "Create kube-proxy kubeconfig..."
将k8s-root-ca.pem,apiserver地址写入kube-proxy.kubeconfig文件
kubectl config set-cluster kubernetes \
--certificate-authority=k8s-root-ca.pem \
--embed-certs=true \
--server=${KUBE_APISERVER} \
--kubeconfig=kube-proxy.kubeconfig
注:会创建一个kube-proxy.kubeconfig文件

kube-proxy.kubeconfig文件内容


将kube-proxy.pem写入kube-proxy.kubeconfig文件
kubectl config set-credentials kube-proxy \
--client-certificate=kube-proxy.pem \
--client-key=kube-proxy-key.pem \
--embed-certs=true \
--kubeconfig=kube-proxy.kubeconfig

kube-proxy.kubeconfig文件内容


设置set-context环境项,kube-proxy用户
kubectl config set-context default \
--cluster=kubernetes \
--user=kube-proxy \
--kubeconfig=kube-proxy.kubeconfig

kube-proxy.kubeconfig文件内容


将set-context写入bootstrap.kubeconfig文件
kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig
kube-proxy.kubeconfig文件内容


生成高级审计配置
cat >> audit-policy.yaml <<EOF
# Log all requests at the Metadata level.
apiVersion: audit.k8s.io/v1beta1
kind: Policy
rules:
- level: Metadata
EOF
注:会生成一个audit-policy.yaml文件

生成集群管理员admin kubeconfig配置文件供kubectl调用
#admin set-cluster
kubectl config set-cluster kubernetes \
--certificate-authority=k8s-root-ca.pem\
--embed-certs=true \
--server=${KUBE_APISERVER} \
--kubeconfig=./kubeconfig
注:会生成一个kubeconfig文件

kubeconfig文件内容


#admin set-credentials
kubectl config set-credentials kubernetes-admin \
--client-certificate=admin.pem \
--client-key=admin-key.pem \
--embed-certs=true \
--kubeconfig=./kubeconfig

kubeconfig文件内容


#admin set-context
kubectl config set-context kubernetes-admin@kubernetes \
--cluster=kubernetes \
--user=kubernetes-admin \
--kubeconfig=./kubeconfig

kubeconfig文件内容


#admin set default context
kubectl config use-context kubernetes-admin@kubernetes \
--kubeconfig=./kubeconfig

kubeconfig文件内容


#创建ssl文件夹
for node in {k8s-master-1,k8s-master-2,k8s-master-3};do
ssh ${node} "mkdir -p /etc/kubernetes/ssl/ "
done

#下发证书文件
for ssl in {k8s-master-1,k8s-master-2,k8s-master-3};do
rsync -avzP /root/kubernetes/server/bin/ssl/ ${ssl}:/etc/kubernetes/ssl/
done
注:下发后需要更改kubeconfig的apiserver地址
server: https://192.168.1.18:6443

#创建master /root/.kube 目录,复制超级admin授权config
for master in {k8s-master-1,k8s-master-2,k8s-master-3};do
ssh ${master} "mkdir -p /root/.kube ; \cp -f /etc/kubernetes/ssl/kubeconfig /root/.kube/config "
done
注:最后注意每台kubelet的配置文件需要更改kube-apiserver地址的有
/lib/systemd/system/kubelet.service
/root/.kube/config
/etc/kubernetes/ssl/bootstrap.kubeconfig
/etc/kubernetes/ssl/kubelet.kubeconfig
/etc/kubernetes/ssl/kube-proxy.kubeconfig










wzz_ccr
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jquery-1.9.1.js
09-07
jquery-1.9.1版本
flink-1.9.1-bin-scala_2.11.tgz
02-26
flink-1.9.1-bin-scala_2.11.tgz flink-1.9.1-bin-scala_2.11.tgz flink-1.9.1-bin-scala_2.11.tgz flink-1.9.1-bin-scala_2.11.tgz
Kubernetes (K8s)安装部署过程(三)之证书kubeconfig文件创建
云深海阔专栏
08-13 1450
说明   安装kubelet工具,参考:https://jimmysong.io/kubernetes-handbook/practice/kubectl-installation.html 安装并赋予可执行权限,继续进行操作: 1、创建TLS bootstrapping Token,即token.csv文件 # export BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ') # cat > token.c
K8S 集群中的认证、授权与kubeconfig
weixin_38320674的博客
04-07 6874
两种用户k8s中的客户端访问有两类用户:普通用户(Human User),一般是集群外访问,如 kubectl 使用的证书service account: 如集群内的 Pod有什么区别呢?...
【博客535】k8s证书原理:各类证书作用
qq_43684922的博客
11-13 2680
我们其实可以使用多个不同的 CA 来颁发这些证书。只要在通信的组件中正确配置用于验证对方证书的 CA 根证书,就可以使用不同的 CA 来颁发不同用途的证书。但我们一般建议采用统一的 CA 来颁发 kubernetes 集群中的所有证书,这是因为采用一个集群根 CA 的方式比采用多个 CA 的方式更容易管理,可以避免多个CA 导致的复杂的证书配置、更新等问题,减少由于证书配置错误导致的集群故障。
可能是史上最全的Kubernetes证书解析
Qinng的博客
04-25 8231
为了避免广告法,题目还是加个可能吧。 想要安全就必须复杂起来,证书是少不了的。在Kubernetes中提供了非常丰富的证书类型,满足各种不同场景的需求,今天我们就来看一看Kubernetes中的证书。 k8s证书分类 在说证书之前,先想想作为集群的入口apiserver需要提供那些服务,与那些组件通信,通信的两方可能需要配置证书。 与apiserver通信的组件大体可以分为以下几类: clien...
迄今为止看到的讲的做清晰的k8s certificate
pushme_pli的专栏
01-15 363
感谢指导: https://cloudnative.to/blog/k8s-certificate/
java-property-utils-1.9.1.jar
09-07
解决java web应用跨域问题所需要用的jar包
解决ajax跨域cors-filter-1.7.1 和 java-property-utils-1.9.1 包带源码
04-01
积分多的大佬打赏下,缺积分用;积分不够得移步https://www.cnblogs.com/BambooLamp/p/12603299.html 原文:https://segmentfault.com/a/1190000012469713
TortoiseSVN-1.9.1.26747-x64-svn-1.9.1含中文包.rar
08-02
TortoiseSVN-1.9.1.26747-x64-svn-1.9.1 安装含中文语言包
使用OpenSSL生成Kubernetes证书的介绍
09-30
今天小编就为大家分享一篇关于使用OpenSSL生成Kubernetes证书的介绍,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
K8s V1.8.2升级到K8s V1.9.7版本升级步骤
06-25
K8s V1.8.2升级到K8s V1.9.7版本升级步骤,以上是在虚机环境上安装的,1个是master节点,一个是node节点
kubernetes认证管理员准备指南:Kubernetes认证管理员(CKA)准备指南-课程V1.19
02-04
kubernetes认证管理员准备指南:Kubernetes认证管理员(CKA)准备指南-课程V1.19
Kubernetes(k8s)证书机制
叮当猫的喵i
09-15 3339
参考 数字证书原理 数字签名是什么? 一文带你彻底厘清 Kubernetes 中的证书工作机制 前置知识 数字证书原理 梳理 k8s组件的认证方式 原理 数字证书的验证是在协议层面通过TLS完成的,应用层不需要特殊处理,有两种方式 单向TLS验证:客户端验证服务端的证书,只需要验证服务端身份 双向TLS验证:客户端和服务端双向验证,双方互相验证 k8s各个组件的接口都包含了集群的内部信息,因此采用双向验证,会涉及到的相关文件 服务器端证书:包含服务器端公钥和服务端身份信息 服务器端私钥 客户
k8s自签证书
qq_42502583的博客
03-29 2306
k8s自签证书 通过使用cert-manager来管理证书 cert-manager将确保证书有效并且是最新的,并在到期前尝试在配置的时间续订证书 part1.安装CustomResourceDefinitions和cert-manager本身: ╭─[18:04:19] yup@YP-7-15 ~ ╰─$ kubectl apply -f https://github.com/jetstack/cert-manager/releases/download/v1.2.0/cert-manager.yaml
k8s环境生成自签名证书配置secret tls并配置到浏览器
lucky_ykcul的博客
08-23 2143
最近公司的网站偶尔会出现“network error”的报错导致网页不稳定,打开开发者工具发现报错为“Failed to load resource: net ::ERR_CERT_AUTHORITY_INVALIED”原因为网页存在认证问题。解决措施有三种:1.申请域名购买证书;2.自己生成自签名证书;3.将https访问方式改为http。综合考虑成本和安全因素后决定使用自签名证书来解决此问题。
k8s教程:使用cert-manager证书管理工具在集群中提供https证书并自动续期
学亮编程手记
08-31 2751
cert-manager 是一个云原生证书管理开源项目,用于在 Kubernetes 集群中提供 HTTPS 证书并自动续期,支持 Let’s Encrypt, HashiCorp Vault 这些免费证书的签发。在Kubernetes集群中,我们可以通过 Kubernetes Ingress 和 Let’s Encrypt 实现外部服务的自动化 HTTPS。...
k8s部署cert-manager实现证书自动化
weixin_44692256的博客
08-28 3625
cert-manager 是一个云原生证书管理开源项目,用于在 Kubernetes 集群中提供 HTTPS 证书并自动续期,支持 Let’s Encrypt, HashiCorp Vault 这些免费证书的签发。在Kubernetes集群中,我们可以通过 Kubernetes Ingress 和 Let’s Encrypt 实现外部服务的自动化 HTTPS。 前言 在Kubernetes集群中使用HTTPS协议,需要一个证书管理器、一个证书自动签发服务,主要通过Ingress来发布HTTPS服务,因此需要
K8s 中使用 cert-manager 申请免费 Https 证书
dotNET跨平台
01-22 1515
K8s 中使用 cert-manager 申请免费 Https 证书Intro最近在尝试将自己的应用从自己用 kind 部署的一个 k8s 集群迁移到 Azure 的 AKS 上,其中一个...
jquery-1.9.1.min.js下载
最新发布
07-26
要下载 jQuery 1.9.1.min.js,你可以按照以下步骤进行操作: 首先,打开 jQuery 官方网站。在浏览器的地址栏输入"jquery.com",然后按下回车键。 点击页面上的 "Download"(下载)选项。这将会导航至 jQuery 下载...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值