[k8s部署]7.etcd配置证书

已于 2024-06-07 00:14:24 修改
阅读量380 收藏 1
点赞数 3
文章标签: kubernetes java 容器
于 2024-06-07 00:05:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45396500/article/details/139510248
版权

启动ectd后,按照bash命令启动api server

sudo docker run --rm -it --name kube-apiserver \
  --network host \
  -v /etc/kubernetes/pki:/etc/kubernetes/pki \
  registry.aliyuncs.com/google_containers/kube-apiserver:v1.28.2 \
  kube-apiserver \
  --advertise-address=100.64.158.0 \
  --allow-privileged=true \
  --authorization-mode=Node,RBAC \
  --client-ca-file=/etc/kubernetes/pki/ca.crt \
  --enable-admission-plugins=NodeRestriction \
  --enable-bootstrap-token-auth=true \
  --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt \
  --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt \
  --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key \
  --etcd-servers=https://127.0.0.1:2379 \
  --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt \
  --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key \
  --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname \
  --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt \
  --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key \
  --requestheader-allowed-names=front-proxy-client \
  --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt \
  --requestheader-extra-headers-prefix=X-Remote-Extra- \
  --requestheader-group-headers=X-Remote-Group \
  --requestheader-username-headers=X-Remote-User \
  --runtime-config=api/all=true \
  --secure-port=6443 \
  --service-account-issuer=https://kubernetes.default.svc.cluster.local \
  --service-account-key-file=/etc/kubernetes/pki/sa.pub \
  --service-account-signing-key-file=/etc/kubernetes/pki/sa.key \
  --service-cluster-ip-range=10.96.0.0/12 \
  --tls-cert-file=/etc/kubernetes/pki/apiserver.crt \
  --tls-private-key-file=/etc/kubernetes/pki/apiserver.key

发现如下报错:但 kube-apiserver 无法与 etcd 通信,出现了 authentication handshake failed: EOF 错误

检查etcd的端口,etcd 正在监听 127.0.0.1:2379,但是 kube-apiserver 依然无法与 etcd 通信。这可能是因为证书或配置问题

sudo netstat -tulnp | grep 2379
>
tcp        0      0 127.0.0.1:2379          0.0.0.0:*               LISTEN      14343/etcd

查看etcd日志,也运行正常

sudo journalctl -u etcd -e

检查sudo ls -l /etc/kubernetes/pki/,发现该目录为空,这意味着etcd和apiserver的密钥没有配置

生成证书和密钥

一共需要生成四组密钥

  1. “ca.crt”和“ca.key”,CA证书和密钥,用于签发其他证书
  2. “server.crt”和“server.key”,etcd服务器证书和密钥
  3. “peer.crt”和“peer.key”,etcd之间相互通信的证书和密钥
  4. “healthcheak-client.crt”和“healthcheck-client.key”,用于健康检查的客户端证书

OpenSSL 是一个开源的加密工具包,它提供了一系列用于生成和管理数字证书的命令行工具 

CA证书生成

sudo openssl genrsa -out /etc/kubernetes/pki/etcd/ca.key 2048
sudo openssl req -x509 -new -nodes -key /etc/kubernetes/pki/etcd/ca.key -subj "/CN=etcd-ca" -days 10000 -out /etc/kubernetes/pki/etcd/ca.crt

其余的私钥生成、CSR 创建和证书签发,都按照以下代码进行

sudo openssl genrsa -out /etc/kubernetes/pki/etcd/server.key 2048
sudo openssl req -new -key /etc/kubernetes/pki/etcd/server.key -subj "/CN=etcd" -out /etc/kubernetes/pki/etcd/server.csr
sudo openssl x509 -req -in /etc/kubernetes/pki/etcd/server.csr -CA /etc/kubernetes/pki/etcd/ca.crt -CAkey /etc/kubernetes/pki/etcd/ca.key -CAcreateserial -out /etc/kubernetes/pki/etcd/server.crt -days 10000 -extfile <(printf "subjectAltName=DNS:localhost,IP:127.0.0.1")

设置权限:将目录下所有 .key 文件的权限设置为 600600 权限表示文件所有者可读写,其他用户无权访问。这是因为私钥是最机密的文件,需要严格控制访问权限。使用 chown 命令将 /etc/kubernetes/pki/etcd 目录下所有 .key 文件的所有者和所属组都设置为 etcd。这是因为 etcd 服务需要访问这些私钥文件,因此设置 etcd 用户和组作为所有者。

将目录下所有 .crt 文件的权限设置为 644。644 权限表示文件所有者可读写,其他用户可读。这是因为证书文件是公开的,可以被其他程序访问。

sudo chmod 600 /etc/kubernetes/pki/etcd/*.key
sudo chown etcd:etcd /etc/kubernetes/pki/etcd/*.key
sudo chmod 644 /etc/kubernetes/pki/etcd/*.crt
sudo chown etcd:etcd /etc/kubernetes/pki/etcd/*.crt

随后执行重启etcd的命令,发现如下错误

"subjectAltName=DNS:localhost,IP:127.0.0.1")
error loading the config file '/dev/fd/63"

这个错误可能是由于尝试在命令行中使用匿名文件描述符(/dev/fd/63)而引起的。利用如下命令进行配置,随后重新执行上面生成证书和密钥的操作

echo "subjectAltName=DNS:localhost,IP:127.0.0.1" | sudo tee /etc/kubernetes/pki/etcd/ext.cnf > /dev/null
更新etcd.conf文件

默认的etcd配置文件在/etc/etcd/etcd.conf中,很多的配置都是注释掉的,解注释代码,并做以下配置

#ETCD_CORS=""
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
#ETCD_WAL_DIR=""
ETCD_LISTEN_PEER_URLS="https://localhost:2380"
ETCD_LISTEN_CLIENT_URLS="https://localhost:2379"
#ETCD_MAX_SNAPSHOTS="5"
#ETCD_MAX_WALS="5"
ETCD_NAME="default"
#ETCD_SNAPSHOT_COUNT="100000"
#ETCD_HEARTBEAT_INTERVAL="100"
#ETCD_ELECTION_TIMEOUT="1000"
#ETCD_QUOTA_BACKEND_BYTES="0"
#ETCD_MAX_REQUEST_BYTES="1572864"
#ETCD_GRPC_KEEPALIVE_MIN_TIME="5s"
#ETCD_GRPC_KEEPALIVE_INTERVAL="2h0m0s"
#ETCD_GRPC_KEEPALIVE_TIMEOUT="20s"
#
#[Clustering]
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://localhost:2380"
ETCD_ADVERTISE_CLIENT_URLS="https://localhost:2379"
#ETCD_DISCOVERY=""
#ETCD_DISCOVERY_FALLBACK="proxy"
#ETCD_DISCOVERY_PROXY=""
#ETCD_DISCOVERY_SRV=""
ETCD_INITIAL_CLUSTER="default=https://localhost:2380"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_INITIAL_CLUSTER_STATE="new"
ETCD_STRICT_RECONFIG_CHECK="true"
ETCD_ENABLE_V2="true"
#
#[Proxy]
#ETCD_PROXY="off"
#ETCD_PROXY_FAILURE_WAIT="5000"

#ETCD_PROXY_REFRESH_INTERVAL="30000"
#ETCD_PROXY_DIAL_TIMEOUT="1000"
#ETCD_PROXY_WRITE_TIMEOUT="5000"
#ETCD_PROXY_READ_TIMEOUT="0"
#
#[Security]
ETCD_CERT_FILE="/etc/kubernetes/pki/etcd/server.crt"
ETCD_KEY_FILE="/etc/kubernetes/pki/etcd/server.key"
ETCD_TRUSTED_CA_FILE="/etc/kubernetes/pki/etcd/ca.crt"
ETCD_PEER_CERT_FILE="/etc/kubernetes/pki/etcd/peer.crt"
ETCD_PEER_KEY_FILE="/etc/kubernetes/pki/etcd/peer.key"
ETCD_PEER_TRUSTED_CA_FILE="/etc/kubernetes/pki/etcd/ca.crt"
ETCD_CLIENT_CERT_AUTH="true"
ETCD_PEER_CLIENT_CERT_AUTH="true"
ETCD_AUTO_TLS="false"
ETCD_PEER_AUTO_TLS="false"
#ETCD_PEER_CLIENT_CERT_AUTH="false"
#ETCD_PEER_TRUSTED_CA_FILE=""
#ETCD_PEER_AUTO_TLS="false"
#
#[Logging]
#ETCD_DEBUG="false"
#ETCD_LOG_PACKAGE_LEVELS=""
#ETCD_LOG_OUTPUT="default"
#
#[Unsafe]
#ETCD_FORCE_NEW_CLUSTER="false"
#
#[Version]
#ETCD_VERSION="false"
#ETCD_AUTO_COMPACTION_RETENTION="0"
#
#[Profiling]
#ETCD_ENABLE_PPROF="false"
#ETCD_METRICS="basic"
#
#[Auth]
#ETCD_AUTH_TOKEN="simple"

随后重启etcd

weixin_45396500
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
etcd证书
learnalwaystodie的博客
02-23 2483
wget "https://pkg.cfssl.org/R1.2/cfssl_linux-amd64" -O /usr/local/bin/cfssl wget "https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64" -O /usr/local/bin/cfssljson 1: cfssl gencert -initca ca-csr.json | cfssljson -bare ca - ca-csr.json #根请求,包括域名 国家 城市 ..
[云原生k8s] k8s的CA证书创建和使用及ETCD集群
m0_71521555的博客
11-03 1711
CA证书ETCD集群部署
kubernetes集群更新证书(kubeadm方式)
rendongxingzhe的博客
04-24 3870
一.kubernets证书详情 1.查看证书 tree /etc/kubernetes/pki/ 正在上传…重新上传取消 2.各个证书过期时间 /etc/kubernetes/pki/apiserver.crt #1年有效期 /etc/kubernetes/pki/front-proxy-ca.crt #10年有效期 /etc/kubernetes/pki/ca.crt #10年有效期 /etc
K8s集群部署之一 ------安装TSL证书部署etcd集群
小虎哥的技术博客
03-01 972
准备 三台centos7.4服务器,可以用VMware虚拟机创建生成。(01是master,02、03是node) 安装TSL证书 mkdir ssl cd ssl wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 wget https:/...
etcd集群生成TLS证书
Niklauson的博客
08-02 432
etcd集群认证生成
rancher部署k8s
喝醉酒的小白
07-08 124
k3s是一个轻量级的Kubernetes发行版,专为边缘计算、物联网设备和资源有限的环境而设计。它是Rancher Labs开发的项目,旨在提供一个易于安装、部署和管理的精简版本的Kubernetes。总而言之,k3s是一个简化版的Kubernetes发行版,适用于边缘计算和资源受限环境,提供了轻量级、易于安装和管理的特性。
k8s集群部署文档.docx
05-15
这种部署方式适用于那些希望通过手动配置来深入理解k8s工作原理的用户。 首先,二进制部署不同于使用kubeadm工具的自动化部署,它需要手动处理更多的细节,包括节点间的通信、证书管理以及服务的高可用性设置。在二...
K8s集群部署配置文件包
10-27
本压缩包“K8s集群部署配置文件包”提供了全面的资源,帮助用户快速构建并配置Kubernetes集群。以下将详细阐述其中涉及的关键知识点。 首先,ETCDKubernetes集群的核心组件,它是轻量级、分布式的键值存储系统,...
k8s 二进制安装 etcd 3.5.1
03-21
Kubernetesk8s)集群中,etcd是一个至关重要的组件,它是分布式键值存储系统,用于存储集群的状态和配置数据。etcd基于Google的Raft一致性算法,确保了数据在分布式环境中的强一致性。在本文中,我们将详细介绍...
kubeadm初始化高可用k8s1.20.4集群-etcd集群独立在k8s集群外详细笔记资料包
06-27
Kubernetes,简称K8s,是目前最流行的容器编排系统,用于自动化容器化的应用程序部署、扩展和管理。kubeadm是Kubernetes提供的一种轻量级工具,用于简化集群的初始化和升级过程。本资料包重点讲解如何使用kubeadm来...
k8s安装部署软件.zip
07-19
Kubernetes(简称k8s)是Google开源的容器编排系统,用于自动化容器化应用程序的部署、扩展和管理。本文将详细介绍如何使用提供的"K8s安装部署软件.zip"压缩包来一步步搭建自己的k8s集群,同时也会涉及Docker的安装...
在使用RKE部署k8s集群中 生成ssh证书用户部署集群
m0_50641264的博客
09-25 378
在使用RKE部署k8s集群中 生成ssh证书用户部署集群
Kubernetes集群etcd备份
最新发布
weixin_46660849的博客
10-30 5万+
Kubernetes 集群中,etcd 存储了所有集群的状态和配置数据,包括 Pod、服务、和部署的信息。因此,定期备份 etcd 是维护 Kubernetes 集群稳定性和可靠性的重要部分。
go-grpc TSL认证 解决 transport: authentication handshake failed: x509 certificate relies on ... ...
scarificed的博客
08-05 3448
go-grpc TSL认证 解决 transport: authentication handshake failed: x509 certificate relies on... ... go-grpc基础通信上加上TSL认证
etcd用户、角色及证书配置
zhangxm_qz的博客
11-17 8640
文章目录访问安全etcd权限分类etcd 访问控制传输安全生成证书配置使用证书 访问安全 在 2.1 版本之前, etcd 是 一个完全开放的系统,任何用户都可以通过 REST API 修改 etcd 存储的数据。 etcd 在 2.1 版本中增加了用户( User )和角色( Role )的概念,引入了用户认证的功能 。 为了保持向后兼容性和可升级性, etcd 的用户权限功能默认是关闭的 。 etcd 支持安全认证以及权限管理。 etcd 的权限管理借鉴了操作系统的权限管理思想,存在 用户和角色(分组
k8s踩坑(三)、kubeadm证书/etcd证书过期处理
ywq935的博客
03-08 2万+
故障现象 使用kubeadm部署的集群,在运行了一年之后今天,出现k8s api无法调取的现象,使用kubectl命令获取资源均返回如下报错: Unable to connect to the server: x509: certificate has expired or is not yet valid 故障排查 查看apiserver.crt证书的签署日期和过期日期: root@9027:...
grpc中TLS认证证书问题
qq_28356505的博客
10-18 7651
grpc TLS证书问题场景:问题:Error 1Error 2解决方法:项目目录:证书生成:1.ca根证书生成:2.server证书生成:服务端与客户端中TLS认证:1.服务端:2.客户端: 场景: 参考gorpc实例进行grpc的TLS验证时出现问题,解决办法参考openssl 证书生成笔记(go 1.15版本以上) 问题: Error 1 报错:rpc error: code = Unavailable desc = connection error: desc = “transport: authe
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值