一、系统初始化
说明:本文档的角色规划和系统初始化流程跟下面链接中的文章规划一致,本文不在赘诉!
二进制部署K8s系统初始化
您也可以通过扫描下方二维码直接访问
提示
- 本文档使用的K8s版本为1.24+
- 本文档使用的容器运行时为 Containerd
- 本文档使用的网络插件为 Calico
- 本文档使用的系统为 CentOS 7.6,内核版本5.4+
- 执行下面的操作之前,请确保K8s-master1节点机器与其它集群节点已经实现了主机名免密和IP免密登入
二、创建CA根证书和秘钥
1、安装cfssl工具集
项目地址: GitHub项目地址
[root@k8s-master1 ~]# cd /opt/k8s
[root@k8s-master1 k8s]# wget https://github.com/cloudflare/cfssl/releases/download/v1.6.1/cfssl_1.6.1_linux_amd64
[root@k8s-master1 k8s]# mv cfssl_1.6.1_linux_amd64 /opt/k8s/bin/cfssl
[root@k8s-master1 k8s]# wget https://github.com/cloudflare/cfssl/releases/download/v1.6.1/cfssljson_1.6.1_linux_amd64
[root@k8s-master1 k8s]# mv cfssljson_1.6.1_linux_amd64 /opt/k8s/bin/cfssljson
[root@k8s-master1 k8s]# wget https://github.com/cloudflare/cfssl/releases/download/v1.6.1/cfssl-certinfo_1.6.1_linux_amd64
[root@k8s-master1 k8s]# mv cfssl-certinfo_1.6.1_linux_amd64 /opt/k8s/bin/cfssl-certinfo
[root@k8s-master1 k8s]# chmod +x /opt/k8s/bin/*
[root@k8s-master1 k8s]# export PATH=/opt/k8s/bin:$PATH
[root@k8s-master1 k8s]# ls /opt/k8s/bin/
2、创建根证书(CA)
2.1:创建配置文件
[root@k8s-master1 ~]# cd /opt/k8s/work
[root@k8s-master1 work]# mkdir -p ca && cd ca
[root@k8s-master1 ca]# cat > ca-config.json <<EOF
{
"signing": {
"default": {
"expiry": "87600h"
},
"profiles": {
"kubernetes": {
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
],
"expiry": "876000h"
}
}
}
}
EOF
- signing:表示该证书可用于签名其它证书(生成的 ca.pem 证书中 CA=TRUE);
- server auth:表示 client 可以用该该证书对 server 提供的证书进行验证;
- client auth:表示 server 可以用该该证书对 client 提供的证书进行验证;
- "expiry": "876000h":证书有效期设置为 100 年;
2.2:创建证书签名请求文件
[root@k8s-master1 ca]# cat > ca-csr.json <<EOF
{
"CN"