【kubernetes-the-hard-way】04-certificate-authority 配置 CA 并生成 TLS 证书

已于 2024-04-22 10:38:26 修改
阅读量372 收藏 4
点赞数 4
分类专栏: Kubernetes 文章标签: kubernetes
于 2024-04-18 23:01:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45633263/article/details/137941165
版权

【kubernetes-the-hard-way】04-certificate-authority 配置 CA 并生成 TLS 证书

配置 CA 并生成 TLS 证书

在本实验中,您将使用 openssl 来配置 PKI 基础设施 来引导证书颁发机构,并为以下组件生成 TLS 证书:kube-apiserver、kube-controller -manager、kube-scheduler、kubelet 和 kube-proxy。 本节中的命令应从jumpbox运行。

证书颁发机构 Certificate Authority

在本部分中,您将配置一个证书颁发机构,可用于为其他 Kubernetes 组件生成其他 TLS 证书。 使用openssl设置 CA 并生成证书可能非常耗时,尤其是第一次执行此操作时。 为了简化本实验,我添加了一个 openssl 配置文件ca.conf,它定义了为每个 Kubernetes 组件生成证书所需的所有详细信息。

花点时间查看一下ca.conf配置文件:

cat ca.conf

您不需要了解ca.conf文件中的所有内容来完成本教程,但您应该将其视为学习openssl以及高级管理证书配置的起点。

每个证书颁发机构都以私钥和根证书开始。 在本节中,我们将创建一个自签名证书颁发机构,虽然这就是本教程所需的全部内容,但这不应被视为您在实际生产级别环境中要做的事情。

生成CA配置文件、证书和私钥:

{
  openssl genrsa -out ca.key 4096
  openssl req -x509 -new -sha512 -noenc \
    -key ca.key -days 3653 \
    -config ca.conf \
    -out ca.crt
}

您可以使用以下命令列出生成的文件:

ls -1 *.crt *.key

结果:

ca.crt ca.key

生成结果中出现如下异常:

req: Unrecognized flag noenc
req: Use -help for summary.

请参考“设置 Jumpbox”安装openssl 3.0

创建客户端和服务器证书

在本部分中,您将为每个 Kubernetes 组件生成客户端和服务器证书,并为 Kubernetes admin 用户生成客户端证书。

生成证书和私钥:

certs=(
  "admin" "node-0" "node-1"
  "kube-proxy" "kube-scheduler"
  "kube-controller-manager"
  "kube-api-server"
  "service-accounts"
)

for i in ${certs[*]}; do
  openssl genrsa -out "${i}.key" 4096

  openssl req -new -key "${i}.key" -sha256 \
    -config "ca.conf" -section ${i} \
    -out "${i}.csr"
  
  openssl x509 -req -days 3653 -in "${i}.csr" \
    -copy_extensions copyall \
    -sha256 -CA "ca.crt" \
    -CAkey "ca.key" \
    -CAcreateserial \
    -out "${i}.crt"
done

运行上述命令的结果将为每个 Kubernetes 组件生成私钥、证书请求和签名的 SSL 证书。 您可以使用以下命令列出生成的文件:

ls -1 *.crt *.key *.csr

分发客户端和服务器证书

在本部分中,您将把各种证书复制到每个计算机的目录下,每个 Kubernetes 组件将在该目录中搜索证书对。 在现实环境中,这些证书应被视为一组敏感机密,因为 Kubernetes 组件经常将它们用作凭证来相互进行身份验证。

将适当的证书和私钥复制到node-0node-1机器:

for host in node-0 node-1; do
  ssh root@$host mkdir /var/lib/kubelet/
  
  scp ca.crt root@$host:/var/lib/kubelet/
    
  scp $host.crt \
    root@$host:/var/lib/kubelet/kubelet.crt
    
  scp $host.key \
    root@$host:/var/lib/kubelet/kubelet.key
done

将适当的证书和私钥复制到server计算机:

scp \
  ca.key ca.crt \
  kube-api-server.key kube-api-server.crt \
  service-accounts.key service-accounts.crt \
  root@server:~/

kube-proxykube-controller-managerkube-schedulerkubelet客户端证书将用于在下一个实验中生成客户端身份验证配置文件。

下一步: Generating Kubernetes Configuration Files for Authentication

syn.
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
certificate-authority-pki:OpenCA 实现
06-02
证书颁发机构-pki OpenCA 的实现:基于 Web 应用程序的公钥证书颁发机构基础架构,作为 2014/2015信息和网络安全课程 (KIJ) 的任务。 应用说明 正在维修 特征 正在维修 要做的事 仍在进行中的事情包括: 数字证书申请表 验证 上传CSR 处理数字证书申请 下载数字证书证书 终止数字证书 贡献者 为本应用程序的工作做出贡献的贡献者,其中包括:
kubernetes-the-hard-way】时隔多年kubernetes-the-hard-way版本大更新(最新)
SYN.
04-18 907
kubernetes-the-hard-way 是由 Kelsey Hightower 提供的一个开源项目本指南不是为寻找完全自动化的工具来创建 Kubernetes 集群的人准备的。Kubernetes The Hard Way 是为学习而优化的,这意味着要走很长的路线,以确保您理解引导 Kubernetes 集群所需的每个任务。
ssl-certificate-chain-resolver:SSL证书链解析器
02-05
SSL证书链解析器 所有操作系统都包含一组默认的受信任根证书。 但是,证书颁发机构通常不使用其根证书来签署客户证书。 他们改用所谓的中间证书,因为它们可以更频繁地轮换。 如果您的服务器上未安装所有中间证书...
ssl-builder:使用CA制作SSL证书以进行开发
04-18
SSL生成器 创建证书颁发机构,密钥和证书的命令行脚本。 这是基于Jamie Nguyen的《 指南的。 安装 克隆此仓库。 然后运行npm install来安装依赖项。 $ npm install 选项 简称 长名 描述 必需的 -r --root-dir ...
kubernetes-the-hard-way-automated:我以Kelsey Hightower的笔记作为开始学习kubernetesdocker
03-20
沃尔克这是我试图绕过Kubernetes ...我已经用本地主机测试过certificate_authority_name :CA的名称。我已经用“ WolkCA”进行了测试certificate_authority_passphrase :CA证书的密码短语。 (即让我的笔记本电脑作为C
create-ssl-certificate创建自签名SSL证书的命令行工具
08-10
create-ssl-certificate 创建自签名SSL证书的命令行工具
k8s相关常用语句
QQ563627436的博客
05-11 678
查连的是哪个数据库:kubectl logs -f --tail=500000 phoenix-trade-a1e3d-9c4f897c7-xb26g -n sit-jd20230721zh | grep dbId=看实时日志: kubectl logs -f --tail=500000 ${pod的名称} -n ${命名空间}(pod的名称就像这样的:cif-sit-gp20230519go-6bf7bd4c99-948pc)
记录一次失败的本地K8S集群安装记录
常备不懈
05-18 810
在Ubuntu上从头开始搭建Kubernetes(K8s)集群需要进行几个步骤,包括安装必要的软件、配置集群节点、初始化主节点和添加工作节点。
Kubernetes 之 Pod 标签、节点选择器和节点亲和性
千度阿三的博客
05-18 336
我们在创建 Pod 资源的时候,Pod 会根据 Scheduler 进行调度,默认会调度到随机的一个工作节点。如果我们想要将 Pod 调度到指定节点或者调度到一些具有相同特点的 Node 节点,可以使用 Pod 中的nodeName或者字段来指定要调度到的 Node 节点。节点亲和性是 Pod 在调度过程中一系列调度约束规则,主要针对节点选择器的匹配,匹配度越高,则该节点执行该 Pod 的概率就越高。节点亲和性分为硬亲和性和软亲和性,硬亲和性代表必须满足,软亲和性在不满足约束规则的条件上,仍可以随机启动。
k8s-从应用访问pod元数据以及其他资源
weixin_43784341的博客
05-14 504
Kubernetes中,可以通过在应用内使用 Downward API 或者通过 Service Account 的方式来访问 Pod 的元数据以及其他资源。下面我将为你介绍这两种方法的详细代码实现。
K8S认证|CKA题库+答案| 1. 权限控制RBAC
Dances with Cloud Native
05-15 6022
K8S认证 | CKA题库+答案 | 权限控制RBAC
Kubernetes 之 Pod 之间的亲和性与反亲和性
千度阿三的博客
05-18 307
Pod 反亲和性是与亲和性完全相反的定义,一旦发现它的约束条件匹配,那么这个 Pod 比与匹配 Pod 在不同的上的工作节点上。它主要可以用来保障不是热点区域和不需要高性能响应但很重要的业务不受干扰。
kubernetes】二进制部署k8s集群之cni网络插件flannel和calico工作原理(中)
2301_81307988的博客
05-14 757
部署网络组件部署 flannel。
k8s 二进制安装 详细安装步骤
wyq2070857323的博客
05-15 622
etcd是CoreOS团队于2013年6月发起的开源项目,它的目标是构建一个高可用的分布式键值(key-value)数据库。etcd内部采用raft协议作为一致性算法,etcd是go语言编写的。关闭防火墙 关闭selinux 关闭swap 根据规划设置主机名做域名映射 调整内核参数 时间同步。
k8s v1.20二进制部署 部署 CNI 网络组件 部署 Calico
wys_jj的博客
05-14 859
●Pod 内容器与容器之间的通信在同一个 Pod 内的容器(Pod 内的容器是不会跨宿主机的)共享同一个网络命名空间,相当于它们在同一台机器上一样,可以用 localhost 地址访问彼此的端口。●同一个 Node 内 Pod 之间的通信每个 Pod 都有一个真实的全局 IP 地址,同一个 Node 内的不同 Pod 之间可以直接采用对方 Pod 的 IP 地址进行通信,Pod1 与 Pod2 都是通过 Veth 连接到同一个 docker0/cni0 网桥,网段相同,所以它们之间可以直接通信。
k8s证书续期
weixin_40668374的博客
05-15 185
如果证书即将到期,此处的天数应该是几天,在过期之前进行续期,保证集群的可用。6.再次查看期限,检查服务是否正常。避免出现问题可以回退。5.替换更新后的文件。
K8s速记命令指南
m0_59744084的博客
05-16 425
【代码】K8s速记命令指南。
pve cluster&k8s cluster重建
知本知至的博客
05-14 221
pve集群&k8s日常操作
K8S认证|CKA题库+答案| 8. 查看可用节点数量
最新发布
Dances with Cloud Native
05-19 1480
K8S认证|CKA题库+答案| 8. 查看可用节点数量
Ca-certificate
03-29
A CA certificate, or a certificate authority certificate, is the root certificate that belongs to a certificate authority (CA). This certificate is used to verify the digital identity of an entity, such as a website or an organization, and it is trusted by web browsers and other software applications. When a website or organization wants to obtain an SSL/TLS certificate, they need to go through a validation process with a CA. The CA verifies the identity of the entity, and if everything checks out, issues an SSL/TLS certificate to them. This certificate contains the domain name or organization name, the public key, and the digital signature of the CA. Web browsers and other software applications trust the CA certificate because it has been digitally signed by the CA, and they use it to verify the SSL/TLS certificates issued by the same CA. If a website's SSL/TLS certificate is not issued by a trusted CA, web browsers will show a warning message to the user.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值