k8s-1.9.1-步骤三(创建证书)

最新推荐文章于 2024-08-28 18:00:32 发布
最新推荐文章于 2024-08-28 18:00:32 发布
阅读量2.6k 收藏 2
点赞数
分类专栏: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35494719/article/details/79830202
版权
----------------------------------------------------------------------------------------------------------------------------
执行主机:192.168.1.15or16or18
创建admin-csr.json
cat >/root/kubernetes/server/bin/ssl/admin-csr.json <<'HERE'
{
"CN": "admin",
"hosts": [],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "Shenzhen",
"L": "Shenzhen",
"O": "system:masters",
"OU": "System"
}
]
}
HERE

创建k8s-gencert.json
cat >/root/kubernetes/server/bin/ssl/k8s-gencert.json <<'HERE'
{
"signing": {
"default": {
"expiry": "87600h"
},
"profiles": {
"kubernetes": {
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
],
"expiry": "87600h"
}
}
}
}
HERE

创建k8s-root-ca-csr.json
cat >/root/kubernetes/server/bin/ssl/k8s-root-ca-csr.json <<'HERE'
{
"CN": "kubernetes",
"key": {
"algo": "rsa",
"size": 4096
},
"names": [
{
"C": "CN",
"ST": "Shenzhen",
"L": "Shenzhen",
"O": "k8s",
"OU": "System"
}
]
}
HERE

创建kube-proxy-csr.json
cat >/root/kubernetes/server/bin/ssl/kube-proxy-csr.json <<'HERE'
{
"CN": "system:kube-proxy",
"hosts": [],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "Shenzhen",
"L": "Shenzhen",
"O": "k8s",
"OU": "System"
}
]
}
HERE

创建kubernetes-csr.json
#注:此处需要将dns首ip,etcd,k8s-master,k8s-node节点的ip都填上
cat >/root/kubernetes/server/bin/ssl/kubernetes-csr.json <<'HERE'
{
"CN": "kubernetes",
"hosts": [
"127.0.0.1",
"192.168.1.15",
"192.168.1.16",
"192.168.1.18",
"10.254.0.1",
"kubernetes",
"kubernetes.default",
"kubernetes.default.svc",
"kubernetes.default.svc.cluster",
"kubernetes.default.svc.cluster.local"
],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "Shenzhen",
"L": "Shenzhen",
"O": "k8s",
"OU": "System"
}
]
}
HERE
----------------------------------------------------------------------------------------------------------------------------
执行主机:192.168.1.15or16or18
生成通用证书以及kubeconfig
进入ssl目录,共创建了五个文件cd /root/kubernetes/server/bin/ssl/


生成证书
cfssl gencert --initca=true k8s-root-ca-csr.json | cfssljson --bare k8s-root-ca

for targetName in kubernetes admin kube-proxy; do cfssl gencert --ca k8s-root-ca.pem --ca-key k8s-root-ca-key.pem --config k8s-gencert.json --profile kubernetes $targetName-csr.json | cfssljson --bare $targetName done


----------------------------------------------------------------------------------------------------------------------------
执行主机:192.168.1.15or16or18
生成kubectl配置
注:此处定义api-server的服务ip,此处用为以后HA模式准备,所以配置127.0.0.1,如果你的master是单节点,请配置成单个apiserver:6443的ip即可
注:我做的3master+node,但是没做ha,这里要每台指定各自的ip
export KUBE_APISERVER="https://192.168.1.15:6443"
cd /root/kubernetes/server/bin/ssl/
export KUBE_APISERVER="https://192.168.1.15:6443"
export BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ')
echo "Tokne: ${BOOTSTRAP_TOKEN}"


cat > token.csv <<EOF${BOOTSTRAP_TOKEN},kubelet-bootstrap,10001,"system:kubelet-bootstrap"EOF
注:会创建一个token.csv文件

echo "Create kubelet bootstrapping kubeconfig..."
将k8s-root-ca.pem,apiserver地址写入bootstrap.kubeconfig文件
kubectl config set-cluster kubernetes \
--certificate-authority=k8s-root-ca.pem \
--embed-certs=true \
--server=${KUBE_APISERVER} \
--kubeconfig=bootstrap.kubeconfig
注:会创建一个bootstrap.kubeconfig文件

bootstrap.kubeconfig文件内容


将token.csv文件内容写入bootstrap.kubeconfig文件
kubectl config set-credentials kubelet-bootstrap \
--token=${BOOTSTRAP_TOKEN} \
--kubeconfig=bootstrap.kubeconfig

bootstrap.kubeconfig文件内容


设置set-context环境项,kubelet-bootstrap用户
kubectl config set-context default \ --cluster=kubernetes \ --user=kubelet-bootstrap \ --kubeconfig=bootstrap.kubeconfig

bootstrap.kubeconfig文件内容


将set-context写入bootstrap.kubeconfig文件
kubectl config use-context default --kubeconfig=bootstrap.kubeconfig
bootstrap.kubeconfig文件内容


echo "Create kube-proxy kubeconfig..."
将k8s-root-ca.pem,apiserver地址写入kube-proxy.kubeconfig文件
kubectl config set-cluster kubernetes \
--certificate-authority=k8s-root-ca.pem \
--embed-certs=true \
--server=${KUBE_APISERVER} \
--kubeconfig=kube-proxy.kubeconfig
注:会创建一个kube-proxy.kubeconfig文件

kube-proxy.kubeconfig文件内容


将kube-proxy.pem写入kube-proxy.kubeconfig文件
kubectl config set-credentials kube-proxy \
--client-certificate=kube-proxy.pem \
--client-key=kube-proxy-key.pem \
--embed-certs=true \
--kubeconfig=kube-proxy.kubeconfig

kube-proxy.kubeconfig文件内容


设置set-context环境项,kube-proxy用户
kubectl config set-context default \
--cluster=kubernetes \
--user=kube-proxy \
--kubeconfig=kube-proxy.kubeconfig

kube-proxy.kubeconfig文件内容


将set-context写入bootstrap.kubeconfig文件
kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig
kube-proxy.kubeconfig文件内容


生成高级审计配置
cat >> audit-policy.yaml <<EOF
# Log all requests at the Metadata level.
apiVersion: audit.k8s.io/v1beta1
kind: Policy
rules:
- level: Metadata
EOF
注:会生成一个audit-policy.yaml文件

生成集群管理员admin kubeconfig配置文件供kubectl调用
#admin set-cluster
kubectl config set-cluster kubernetes \
--certificate-authority=k8s-root-ca.pem\
--embed-certs=true \
--server=${KUBE_APISERVER} \
--kubeconfig=./kubeconfig
注:会生成一个kubeconfig文件

kubeconfig文件内容


#admin set-credentials
kubectl config set-credentials kubernetes-admin \
--client-certificate=admin.pem \
--client-key=admin-key.pem \
--embed-certs=true \
--kubeconfig=./kubeconfig

kubeconfig文件内容


#admin set-context
kubectl config set-context kubernetes-admin@kubernetes \
--cluster=kubernetes \
--user=kubernetes-admin \
--kubeconfig=./kubeconfig

kubeconfig文件内容


#admin set default context
kubectl config use-context kubernetes-admin@kubernetes \
--kubeconfig=./kubeconfig

kubeconfig文件内容


#创建ssl文件夹
for node in {k8s-master-1,k8s-master-2,k8s-master-3};do
ssh ${node} "mkdir -p /etc/kubernetes/ssl/ "
done

#下发证书文件
for ssl in {k8s-master-1,k8s-master-2,k8s-master-3};do
rsync -avzP /root/kubernetes/server/bin/ssl/ ${ssl}:/etc/kubernetes/ssl/
done
注:下发后需要更改kubeconfig的apiserver地址
server: https://192.168.1.18:6443

#创建master /root/.kube 目录,复制超级admin授权config
for master in {k8s-master-1,k8s-master-2,k8s-master-3};do
ssh ${master} "mkdir -p /root/.kube ; \cp -f /etc/kubernetes/ssl/kubeconfig /root/.kube/config "
done
注:最后注意每台kubelet的配置文件需要更改kube-apiserver地址的有
/lib/systemd/system/kubelet.service
/root/.kube/config
/etc/kubernetes/ssl/bootstrap.kubeconfig
/etc/kubernetes/ssl/kubelet.kubeconfig
/etc/kubernetes/ssl/kube-proxy.kubeconfig










wzz_ccr
关注
专栏目录
1.还不会部署高可用的kubernetes集群?看我手把手教你使用二进制部署v1.23.6的K8S集群实践(上)
WeiyiGeek 唯一极客IT知识分享
05-16 310
公众号关注「WeiyiGeek」设为「特别关注」,每天带你玩转网络安全运维、应用开发、物联网IOT学习!本章目录:0x00 前言简述0x01 环境准备主机规划软件版本网络规划0x02 安装部署1.基础主机环境准备配置2.负载均衡管理工具安装与内核加载3.高可用HAproxy与Keepalived软件安装配置4.配置部署etcd集群与etcd证书签发5.Containerd 运行时安装部署温馨提示: 由于实践篇幅太长,此处分为上下两节进行发布。0x00 前言简述描述: 在我博客以及前面的文章之中讲解Kuber
K8S-给集群创建一个用户,自定义证书访问apiserver
wangmiaoyan的博客
10-14 1526
首先查看apiserver的证书文件,默认的路径是/etc/kubernetes/pki [root@master ~]# cd /etc/kubernetes/pki/ [root@master pki]# ls apiserver.crt etcd apiserver-etcd-client.crt front-proxy-ca.crt apiserve...
k8s 节点签发所需证书
weixin_30802171的博客
05-18 265
  准备台主机:        192.168.1.71        192.168.1.72       192.168.1.73 Step1:   在第一台 192.168.1.71 签发证书 也可以在其它机器进行签发证书 创建一个保存证书的目录 最好在 /etc/ 下   mkdir -pv /etc/ssl/k8s   cd /etc/ssl/...
k8s证书更新
最新发布
Timmy的博客
08-28 249
k8s证书更新
k8s-证书管理之cert-manager自动生成证书_cert-manager
2401_84254011的博客
04-15 1084
issuer与clusterissuer两个签发资源,issuer只能在同一命名空间内签发证书,clusterissuer可以在所有命名空间内签发证书。上面用的是cert-manager的自签证书做为CA,也可以自已定义个CA放在secret里,然后做为clusterissuer来进行后续的签发。在注解中定义cert-manager.io/cluster-issuer,并指定clusterissuer的名称;如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
Kubernetes (K8s)安装部署过程()之证书kubeconfig文件创建
云深海阔专栏
08-13 1482
说明   安装kubelet工具,参考:https://jimmysong.io/kubernetes-handbook/practice/kubectl-installation.html 安装并赋予可执行权限,继续进行操作: 1、创建TLS bootstrapping Token,即token.csv文件 # export BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ') # cat > token.c
K8s入门-创建
qq_34819372的博客
08-17 181
一、前言 k8s 引用程序的相关创建、查询、管理等操作需要kubectl支持 输入kubectl -h 或 kubectl xx -h 可以查询相关指令支持 二、开始创建(以Nginx为例) 1、下载安装docker镜像 //查询Nginx镜像版本 $ docker search nginx //下载最新镜像 $ docker pull nginx:latest //查看一下 $ docker images 2、kubectl创建应用程序(Deployment) 创建指令为 kubectl
k8s-1.9.1-步骤六(安装calico)
wzz_ccr的博客
04-16 4626
----------------------------------------------------------------------------------------------------------------------------执行主机:192.168.1.15and16and18下载基础镜像docker pull gcr.io/google_containers/pause-...
k8s学习笔记(8)--- kubernetes核心组件之scheduler详解
梦谜的博客
01-18 4579
kubernetes核心组件之scheduler详解1、kube-schedule简介1.1 kubernetes scheduler 基本原理1.1.1 scheduler 调度流程1.2 scheduler 调度策略1.2.1 Predicates(预选策略)1.2.2 Priorites(优选策略)1.3 scheduler 的优先级与抢占机制1.3.1 背景1.3.2 作用1.3.3 怎么...
使用 k8s/istio/cert-manager 和 vault 保障应用的 tls 安全
NewTyun的博客
10-13 360
新钛云服已累计为您分享690篇技术干货前言Vault 是安全应用维护人员最喜欢的 hashcorp 产品之一 。Vault 是存储机密、证书、管理策略、加密数据等内容的安全工具。Vault 使用受信任的身份集中密码和控制访问权限,以此减少对静态、硬编码凭证的需求。它使用集中托管和受保护的加密密钥来动态和静态加密敏感数据,所有一切均可通过单个工作流和 API 实现。Istio 非常重要的一个功能是能...
基于开源软件开发的云原生技术框架
AI天才研究院
07-29 1182
云原生技术是一个新兴的、蓬勃发展的方向,其定义是由 Linux 基金会、CNCF(Cloud Native Computing Foundation)、Docker、Kubernetes、Etcd 等开源项目所形成的一套开放、免费、社区驱动、可移植且具备可扩展性的应用容器引擎架构方案。云原生技术致力于通过提升应用系统的敏捷性、可靠性、弹性、可观察性和安全性,降低企业的 IT 成本、缩短产品上市时间、降低运营风险,实现从传统主机到私有云再到公有云、多云甚至混合云的平滑过渡,为客户创造价值。
K8s集群搭建手册(超级详细)k8s版本1.8.3
12-21
超级详细的K8s集群安装手册,公司安装的时候同步编写的
k8s创建服务与公开接口
weixin_34221775的博客
08-08 668
8.通过服务访问pod1.创建服务服务创建会用应用的标签确定哪个pod部署服务cat nginx.yml apiVersion: apps/v1beta1kind: Deploymentmetadata: name: nginxspec:replicas: 4template:metadata:labels:app: nginxspec:...
k8s的初始及搭建
abaidaye的博客
10-15 435
文章目录(kubernetes)k8s1.初识k8s1.1.k8s是什么?1.2.环境搭建1.3.用kubeadm部署k8s部署中出现的问题(没有ready):结尾:部署完成扩展:kube-flannel.yml的配置 (kubernetes)k8s 1.初识k8s 1.1.k8s是什么? ​ kubernetes,简称K8s,是用8代替8个字符“ubernete”而成的缩写。是一个开源的,由go语言开发,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用
k8s-1.9.1-步骤一(准备)
wzz_ccr的博客
03-31 586
程序下载ectd:https://github.com/coreos/etcd/releases/download/v3.3.1/etcd-v3.3.1-linux-amd64.tar.gzcalico:https://docs.projectcalico.org/v3.0/getting-started/kubernetes/k8shttps://storage.googleapis.com/k...
k8s搭建详细版
liu644911337的博客
11-27 782
K8s集群搭建 先搭建master,再搭建node 一.master节点搭建 1.本次教程,使用 docker 18.09.9 和 kubelet-1.16.4,要求 centos7.6 以上版本 cat /etc/centos-release 2.关闭 selinux 查看 selinux 是否关闭 先设置临时关闭 永久关闭 3.关闭 swap k8s 要求系统关闭,否则安装过程会报错 查看系统是否关闭了 swap 临时禁用:swapoff -a 永久禁用:sed -i.bak ‘/swap/s/^/#/
k8s搭建流程
weixin_43823927的博客
07-04 204
搭建流程: master: 192.168.0.123 master和所有节点共同操作: 1.关闭swap,swapoff -a && 注释fstab 2.关闭selinux&&防火墙 3. 写入转发流量:``` [root@master ~]# cat > /etc/sysctl.d/k8s.conf << EOF > net.ipv4.ip_forward = 1 > net.bridge.bridge-nf-call-ip6ta.
K8S 更新证书
俞兆鹏的博客
02-24 9624
k8s 更新证书
K8S(kubeadm版)更新证书
ArrogantB的博客
03-18 2116
k8s证书过期更换,kubeadm方式更换证书
jquery-1.9.1.min.js下载
07-26
### 回答1: 要下载 jQuery 1.9.1.min.js,你可以按照以下步骤进行操作: 首先,打开 jQuery 官方网站。在浏览器的地址栏输入"jquery.com",然后按下回车键。 点击页面上的 "Download"(下载)选项。这将会导航至 jQuery 下载页面。 在下载页面中,你可以看到一个包含多个可选择版本的列表。确保选择的是 "1.9.1" 版本。 在 "1.9.1" 版本下面,你会找到 "Download the compressed, production jQuery 1.9.1" 链接。点击该链接。 随即,一个弹出窗口将询问你是否保存或下载文件。选择 "保存文件" 选项,并选择一个合适的文件夹。 保存完毕后,你可以在选择的文件夹中找到并使用 "jquery-1.9.1.min.js" 文件。 现在,你已成功下载了 jQuery 1.9.1.min.js 文件,你可以在你的项目中引入该文件并开始使用 jQuery 的功能了。 ### 回答2: 要下载 jQuery 1.9.1 版本的压缩文件 `jquery-1.9.1.min.js`,可以通过以下步骤进行操作: 1. 首先,在浏览器中打开 jQuery 官方网站(https://jquery.com/)。 2. 在网站的顶部导航菜单中,找到 "Download"(下载)选项,点击进入下载页面。 3. 在下载页面中,你会看到多个版本的 jQuery 可供选择。找到并选择 "1.x" 系列版本,然后点击该系列下的 "Download the compressed, production jQuery 1.9.1"(下载已压缩的 jQuery 1.9.1)链接。 4. 开始下载后,浏览器会提示保存文件的位置和名称。你可以选择保存到自己想要的目录,并将文件名设置为 "jquery-1.9.1.min.js"。 5. 确认保存位置和文件名后,点击 "保存",文件下载就会开始。 下载完成后,你就可以在你选择的目录中找到 "jquery-1.9.1.min.js" 文件了。这个文件是已经压缩过的 jQuery 1.9.1 版本的 JavaScript 文件,你可以将其引入到你的网页中使用 jQuery 的功能。 ### 回答3: jQuery-1.9.1.min.js 是一个 JavaScript 库,用于简化网页开发中常见的操作和任务。这个文件可以通过多种方式进行下载。 首先,可以通过 jQuery 官方网站(https://jquery.com/download/)来下载 jQuery-1.9.1.min.js 文件。在网站上,你可以找到各种不同版本的 jQuery 文件,包括被压缩(minified)的版本和未压缩的版本。选择需要的版本后,点击下载按钮即可下载。 如果你使用的是包管理工具,比如 npm 或者 Yarn,你也可以通过命令行界面来下载 jQuery 文件。打开命令行界面,进入你的项目目录,然后运行适当的命令来下载文件。例如,在使用 npm 的情况下,可以运行命令:```npm install jquery@1.9.1``` 。这样可以将 jQuery-1.9.1.min.js 文件下载到你的项目目录下的 node_modules 文件夹中。 此外,你还可以从第方网站下载 jQuery-1.9.1.min.js 文件。有很多网站提供 jQuery 文件的下载,包括一些开发工具和资源网站。通过搜索引擎搜索 "jQuery-1.9.1.min.js 下载",你可以找到很多下载链接。请注意,从第方网站下载文件时,务必选择可信赖的来源,以避免下载到不安全或被修改过的文件。 总而言之,下载 jQuery-1.9.1.min.js 文件的方式有多种,你可以通过 jQuery 官网、包管理工具或者第方网站来获取该文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值