kubernetes容器集群管理(3)-Kubeconfig 部署TLS Bootstrapping

最新推荐文章于 2024-05-20 20:36:19 发布
最新推荐文章于 2024-05-20 20:36:19 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: kubernetes 文章标签: TLS kubernetes 容器 集群
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39855998/article/details/104581570
版权

目录

 

1、TLS Bootstrapping一些理解

2、部署Kubeconfig 

3、运行上面脚本

1、TLS Bootstrapping一些理解

2021-3-4:

    关于TLS Bootstrapping的研究,已重新整理细化:https://blog.csdn.net/weixin_39855998/article/details/114369356

如果对 TLS Bootstrapping 完全没接触过推荐:
https://blog.csdn.net/paopaohll/article/details/89022920

众所周知 TLS 的作用就是对通讯加密,防止中间人窃听;同时如果证书不信任的话根本就无法与 apiserver建立连接,更不用提有没有权限向 apiserver 请求指定内容。在开启了 TLS 的集群中,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式。

当集群开启了 TLS 认证后,每个节点的 kubelet 组件都要使用由 apiserver 使用的 CA 签发的有效证书才能与 apiserver 通讯;此时如果节点多起来,为每个节点单独签署证书将是一件非常繁琐的事情;TLS bootstrapping 功能就是让 kubelet 先使用一个预定的低权限用户连接到 apiserver,然后向 apiserver 申请证书,kubelet 的证书由 apiserver 动态签署;

TLS Bootstrapping ,使用 Token 时整个启动引导过程:
1、在集群内创建特定的 Bootstrap Token Secret ,该 Secret 将替代以前的 token.csv 内置用户声明文件
2、在集群内创建首次 TLS Bootstrap 申请证书的 ClusterRole、后续 renew Kubelet client/server 的 ClusterRole,以及其相关对应的 ClusterRoleBinding;并绑定到对应的组或用户
3、调整 Controller Manager 配置,以使其能自动签署相关证书和自动清理过期的 TLS Bootstrapping Token
4、生成特定的包含 TLS Bootstrapping Token 的 bootstrap.kubeconfig 以供 kubelet 启动时使用
5、调整 Kubelet 配置,使其首次启动加载 bootstrap.kubeconfig 并使用其中的 TLS Bootstrapping Token 完成首次证书申请
6、证书被 Controller Manager 签署,成功下发,Kubelet 自动重载完成引导流程
7、后续 Kubelet 自动 renew 相关证书

--#!
就个人目前理解:想要实现K8s集群每个节点的Kubelet与管理机器Apiserver之间的通讯,首先需要TLS证书,这个之前已经利用CFSSL工具生成并分发好了;其次还需要每台节点向apiserver申请证书并同意,我们现在要做的就是让每台节点自动向管理机器申请通讯,master直接签署就可以了,不必让管理机器一台一台挨个确认。

说白了,node连接apiserver需要认证,创建好两个包含认证信息的配置文件发给node,以后node再次访问只要加上配置文件就行了,相当于身份证件。

2、部署Kubeconfig 

#Kubeconfig 需要配置如下TLS Bootstrapping Token、kubelet kubeconfig、kube-proxy kubeconfig
#下载kubectl

kubectl下载地址:https://kubernetes.io/docs/tasks/tools/install-kubectl/
curl -LO https://storage.googleapis.com/kubernetes-release/release/v1.9.0/bin/linux/amd64/kubectl
[root@master ssl]# chmod +x kubectl                                                   
[root@master ssl]# mv kubectl /opt/kubernetes/bin/

#kubeconfig配置文件创建,直接用下面kubeconfig.sh脚本文件生成 注意:export KUBE_APISERVER设置master的ip

# 创建 TLS Bootstrapping Token
export BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ')
cat > token.csv <<EOF
${BOOTSTRAP_TOKEN},kubelet-bootstrap,10001,"system:kubelet-bootstrap"
EOF

#----------------------

# 创建kubelet bootstrapping kubeconfig 
# apiserver服务端地址,配置错误会导致节点无法注册
export KUBE_APISERVER="https://192.168.192.128:6443"

# 设置集群参数
kubectl config set-cluster kubernetes \
--certificate-authority=./ca.pem \
--embed-certs=true \
--server=${KUBE_APISERVER} \
--kubeconfig=bootstrap.kubeconfig

# 设置客户端认证参数
kubectl config set-credentials kubelet-bootstrap \
--token=${BOOTSTRAP_TOKEN} \
--kubeconfig=bootstrap.kubeconfig

# 设置上下文参数
kubectl config set-context default \
--cluster=kubernetes \
--user=kubelet-bootstrap \
--kubeconfig=bootstrap.kubeconfig

# 设置默认上下文
kubectl config use-context default --kubeconfig=bootstrap.kubeconfig

#----------------------

# 创建kube-proxy kubeconfig文件

kubectl config set-cluster kubernetes \
--certificate-authority=./ca.pem \
--embed-certs=true \
--server=${KUBE_APISERVER} \
--kubeconfig=kube-proxy.kubeconfig

kubectl config set-credentials kube-proxy \
--client-certificate=./kube-proxy.pem \
--client-key=./kube-proxy-key.pem \
--embed-certs=true \
--kubeconfig=kube-proxy.kubeconfig

kubectl config set-context default \
--cluster=kubernetes \
--user=kube-proxy \
--kubeconfig=kube-proxy.kubeconfig

kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig


3、运行上面脚本

#设置环境

[root@master ssl]# vi /etc/profile

#在文件最后一行加上

PATH=$PATH:/opt/kubernetes/bin 
[root@master ssl]# source /etc/profile

#执行

[root@master ssl]# chmod +x kubeconfig.sh
[root@master ssl]# ./kubeconfig.sh
#生成bootstrap.kubeconfig kube-proxy.kubeconfig token.csv后面会用


 

情绪零碎碎
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
cert-exporter:Prometheus导出器,可在磁盘和Kubernetes机密中发布证书过期
05-01
证书出口商 Kubernetes使用PKI证书在所有主要组件之间进行身份验证。 这些证书对于群集的运行至关重要,但对于管理员而言通常是不透明的。 此应用程序旨在解析证书并导出到期信息,以供Prometheus抓取。 警告如果在群集中运行此应用程序,则可能需要某种提升的特权。 此外,您还向其公开了非常敏感的信息。 查看源代码! 用法 cert-exporter可以发布有关 以编码的磁盘上的x509证书 从kubeconfig文件嵌入或引用的证书。 存储在Kubernetes机密中的证书。 这支持诸如应用程序。 有关运行cert-exporter的详细信息以及在集群中运行它的示例,请参阅。 有关如何运行cert-exporter来从您管理的机密(而非cert-manager)中刮取证书的示例,请参阅 。 要启用和清除来自AWS机密的证书,请执行以下操作: go run main.
k8s之认证文件丢失
weixin_60552163的博客
06-27 1708
重新生成证书
kubernetes 的CNI网络组件 + 二进制集群部署
最新发布
qq_57093716的博客
05-20 1046
kubernetes 的CNI网络组件 二进制集群部署
k8s报错
linuxvfast的博客
06-23 977
查看状态报错 Dec 11 15:50:01 k8s-node1 systemd[1]: Unit kubelet.service entered failed state. Dec 11 15:50:01 k8s-node1 systemd[1]: kubelet.service failed. messege failed to run Kubelet: misconfiguration: kubelet cgroup driver: "systemd" is different from docke
k8s证书过期,更新证书后,没有bootstrap-kubelet.conf文件
weixin_43848982的博客
09-21 420
执行kubeadm token create --print-join-command命令。问题出现原因:证书过期,更新证书后,没有bootstrap-kubelet.conf文件。手动创建/etc/kubernetes/bootstrap-kubelet.conf文件。命令可以创建bootstrap-kubelet.conf文件。该命令是针对 Kubernetes 1.24 及更高版本的。可以通过kubectl cluster-info命令查看。--token 后的值就是需要替换的token了。
【[kubelet报bootstrap-kubelet.conf: no such file or directory“ 处理方法]】
Ban_a的博客
01-16 1321
1、 kubelet 启动 报 unable to load bootstrap kubeconfig: stat /etc/kubernetes/bootstrap-kubelet.conf: no such file or directory" ,原因是kubelet.conf的证书权限有问题。拷贝 admin.conf 到 kubelet.conf ,再重新启动kubelet服务。
kubernetes-server-linux-amd64.tar.gz
08-28
Kubernetes(简称K8s)是Google开源的一款容器编排系统,它允许用户在集群上部署管理和扩展容器化的应用。在这个场景中,我们关注的是针对Linux AMD64架构的Kubernetes 1.25.10服务器二进制安装包——"kubernetes-...
kubernetes-security-best-practice:Kubernetes安全-最佳实践指南
02-04
容器化和微服务化的现代云原生环境中,Kubernetes(K8s)已经成为管理部署应用的主流平台。然而,随着技术的普及,安全性问题也日益凸显。"kubernetes-security-best-practice" 提供了一份详尽的指南,旨在帮助...
Kubernetes-container-service-GitLab-sample:此代码显示了如何在Kubernetes集群上部署通用的多组件GitLab。 每个组件(NGINX,Ruby on Rails,Redis,PostgreSQL等)都在单独的容器或一组容器中运行
02-03
在IT行业中,Kubernetes(简称K8s)是一种流行的容器编排系统,它允许开发者和运维人员高效地管理部署容器化的应用程序。GitLab则是一个全方位的DevOps平台,集成了代码仓库、CI/CD、安全性和项目管理等功能。将...
kubernetes-rabbitmq-cluster:适用于kubernetes的可部署的Rabbitmq集群
02-03
在IT行业中,Kubernetes(简称K8s)是目前最流行的容器编排系统,它能够自动化容器化应用的部署、扩展以及管理。RabbitMQ,则是广泛应用的消息队列服务,用于处理应用程序之间的异步通信和数据交换。当我们把...
ubuntu服务器开放端口_Docker服务开放了这个端口,服务器分分钟变肉机
weixin_39736934的博客
11-24 253
推荐阅读:无情的BUG杀手:京东资深架构师分享:RabbitMQ整体架构以及学习方法​zhuanlan.zhihu.com无情的BUG杀手:爱了爱了,Spring Cloud Alibaba内部微服务架构笔记真的太牛了​zhuanlan.zhihu.com无情的BUG杀手:面试大厂必问的JVM+Redis+MySQL+并发+分布式等面试题,含答案​zhuanlan.zhihu.com摘要之前有很多...
/etc/kubernetes/bootstrap-kubelet.conf: no such file or directory“
sqlora的专栏
01-10 1949
"Failed to run kubelet" err="failed to run Kubelet: unable to load bootstrap kubeconfig: stat /etc/kubernetes/bootstrap-kubelet.conf: no such file or directory"
Kubernetes证书篇:使用TLS bootstrapping简化kubelet证书制作》
东城绝神
05-12 2231
Kubernetes证书篇:使用TLS bootstrapping简化kubelet证书制作》
k8s之认证文件失效,导致kubelet无法正常启动
weixin_60552163的博客
06-08 1581
如:你将master节点设置为可以调度,将配置文件重新生成后,master节点会恢复到原来的不可调度的情况,当你的k8s集群只要一个master节点,那么pod将没有机器可以调度。要慎重,因为这样做会将原有集群生成的资源信息重置掉。(目前按照这种方法做了,kubelet可以起来,集群正常。配置文件生成完后,会将原有的pod,svc,ns等资源去除,配置的一些内容也很更新,需要确认。首先集群状态无法查看,检查了防火墙,selinux是否关闭。查看kubulet进程,发现kubelet有报错。
kubernetes集群报 unable to load bootstrap kubeconfig处置思路
rendongxingzhe的博客
03-22 1309
k8s 集群出现问题:"unable to load bootstrap kubeconfig的处理办法
k8s TLS bootstrap解析-k8s TLS bootstrap流程分析
良凯尔的博客
04-04 2261
k8s TLS bootstrap功能就是让kubelet先使用一个预先商定好的低权限的bootstrap token连接到kube-apiserver,向kube-apiserver申请证书,然后kube-controller-manager给kubelet动态签署证书,后续kubelet都将通过动态签署的证书与kube-apiserver通信。
failed to run Kubelet: unable to load bootstrap kubeconfig: stat /etc/kubernetes/bootstrap-kubelet.
运维玄德公
10-25 4293
Failed while requesting a signed certificate from the master: cannot create certificate signing request
十. Kubernetes 核心配置文件与kubelet命令
qq_29799655的博客
05-22 1226
根据静态非静态这个说法,k8s服务安装时用来运行核心组件的pod称为静态pod, 我们自己通过k8s运行的自己的服务pod称为动态pod。
Kubernetes 1.6 CentOS 7集群部署指南:二进制TLS配置详解
"本指南详细介绍了如何在CentOS 7上部署Kubernetes 1.6集群,包括使用二进制文件安装并开启TLS(Transport Layer Security)功能。整个过程分为以下几个关键步骤: 1. 安装基础组件: - 安装Kubernetes核心组件,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

情绪零碎碎

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值