了解Kubernetes-RKE2的PKI以及证书存放位置

已于 2024-06-06 22:47:01 修改
阅读量836 收藏 13
点赞数 21
分类专栏: 云原生 文章标签: kubernetes 容器 云原生
于 2024-06-06 22:21:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46510209/article/details/139509442
版权

一、什么是PKI?

        简称:证书基础设施。

        可以方便理解为当你的集群有Server,Client架构,那么为了安全加密之间的通信,则需要使用证书进行交互,那么利用PKI架构可以安全加密组件之间的通信。
 

二、Kubernetes的PKI架构什么样子?

        *截图之某tu博主。 

 

相应组件对于的证书。 

解释一下:

       1、即Api-Server与他需要通信的组件Scheduler、Controller Manager有服务端证书。

        2、Scheduler、Controller Manager 而对于的Api-Server都有一份对应的Client.srv证书。

        3、但同理Api-server相对于Etcd和Kubelet那么,Etcd、Kubelet为Server端,则Api-server有一份对应的Client证书。

        4、Api-Server需要与Kubelet双向通信调用所以是即是服务端又是客户端,有两份证书。

三、Kubernetes-PKI在哪里?

        默认位置:/etc/kubenetes/pki ,因为我是搭建的RKE2发行版的k8s,故我的PKI在这里:/var/lib/rancher/rke2/server/tls

四、逐个文件对应

ca证书:

/var/lib/rancher/rke2/server/tls/server-ca.crt

apiserver证书在下面目录:

/var/lib/rancher/rke2/server/tls/serving-kube-apiserver.crt

/var/lib/rancher/rke2/server/tls/client-kube-apiserver.crt

etcd客户端证书在下面目录:

/var/lib/rancher/rke2/server/tls/etcd/client.crt

etcd服务器证书在下面目录:

/var/lib/rancher/rke2/server/tls/etcd/server-client.crt

scheduler的客户端证书在下面目录:

/var/lib/rancher/rke2/server/tls/client-scheduler.crt

scheduler的服务端证书在下面目录:

/var/lib/rancher/rke2/server/tls/kube-scheduler/kube-scheduler.crt

kube-controller-manager的客户端证书在下面目录:

/var/lib/rancher/rke2/server/tls/client-controller.crt

kube-controller-manager的服务端证书在下面目录:

/var/lib/rancher/rke2/server/tls/kube-controller-manager/kube-controller-manager.crt

五、客户端的证书样子

kubectl config view

查看当前你的kubeconfig文件中你使用的证书认证信息以及客户端证书

A ?Charis
关注
  • 21
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes-rke-baremetal:使用RKE,MetalLB负载平衡器和Rook持久存储在裸机服务器上安装具有GPU支持的Kubernetes
05-09
在裸机上基于RKE的Kubernetes的设置 以下是有关如何使用rancher / rke安装程序在裸机上设置kubernetes集群的说明。 子文件夹介绍了如何设置和 准备服务器 安装Ubuntu 16.04 在撰写本文时,方法是使用pxe在引导...
terraform-openstack-rke:Terraform Openstack RKE
02-04
1. **配置Terraform**: 在`terraform-openstack-rke-master`项目中,我们需要设置Terraform的配置文件,定义OpenStack的访问凭据、网络、安全组、计算实例等资源。使用Terraform的HCL(HashiCorp Configuration ...
Kubernetes-基于RKE进行Kubernetes的安装部署
******* ▄︻┻┳═一 *******
04-13 2353
一、环境准备 1、操作系统 1)建议使用CentOS 7.3以上版本; 序号 角色 操作系统 IP 主机 1 RKE CentOS7 10.0.32.134 rancher-server 2 etcd CentOS7 10.0.32.175 rancher2-server 3 Master Node CentOS7 10.0.32.175 4 Worker Node C...
RKE2安装kubernetes(2)
m0_49654228的博客
09-14 3625
RKE2安装kubernetes 环境准备 修改主机名 hostnamectl set-hostname rke2-1 && bash 系统版本 [root@rke2-4 ~]# uname -a Linux rke2-4 3.10.0-693.el7.x86_64 #1 SMP Tue Aug 22 21:09:27 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux [root@rke2-4 ~]# cat /etc/redhat-release
k8s的node节点加入失败[ERROR FileAvailable--etc-kubernetes-kubelet.conf]: /etc/kubernetes...
jiangjun_dao519的博客
07-22 3711
在node节点执行kubeadmreset。
RKE2 online install kubernetes 【rke2 在线部署 kubernetes】
爱死亡机器人
08-28 741
RKE2(Rancher Kubernetes Engine 2)是一个轻量级、易于安装和管理的 Kubernetes 发行版,由公司开发和维护。RKE2 构建在 CNCF 基金会的 Kubernetes 项目之上,但是相比于原生 Kubernetes 更加轻量、易于升级和维护。RKE2 的设计目标是提供一个简单的 Kubernetes 发行版,可以在各种环境中轻松部署和管理。
basebox-ubuntu-18.04-rke:带有RKE的Vagrant Ubuntu 18.04 Basebox
05-06
流浪文件Vagrant.configure("2") do |config| ENV['VAGRANT_EXPERIMENTAL'] = "disks" $basebox_name="ubuntu-18.04-rke-test" $basebox_hostname="ubuntu-1804-rke-test" $src_image_name="elegoev/ubuntu-18.04-...
update-rke-cluster:更新使用Rancher构建的Rancher Kubernetes Engine集群
03-18
在文件`update-rke-cluster-main`中,可能包含用于辅助这个过程的脚本、配置文件或者指南。这些资源可以帮助你自动化部分更新流程,比如使用RKE的`rke up`命令直接更新集群配置。使用时,务必仔细阅读文档,理解每个...
tf-rke-icap
03-09
2. **理解HCL配置**:研究`tf-rke-icap-master`中的HCL文件,了解如何定义Kubernetes集群的资源,如节点、服务、部署和ICAP服务。 3. **配置Terraform**:根据项目需求,修改HCL配置以定义集群的架构和安全策略。 4....
helm安装解决无授权问题
m0_72363694的博客
07-10 479
helm报错,kubesphere安装
K8S集群应用国产信创适配实战经验总结
yztezhl的专栏
07-06 731
sealos安装k8s是当下最火热稳定的首选之一
K8S中部署 Nacos 集群
mkii_hong的博客
07-10 706
咱也没想到 K8S 部署系列能搞这么多次,我一个开发天天干运维的活,前端后端运维测试工程师实至名归。
k8s(四)---node
m0_45283400的博客
07-13 64
node就是节点。
新版k8s拉取镜像失败问题
m0_72363694的博客
07-12 295
新版版从k8s1.23后放弃使用docker容器作为的默认运行时了,而是采用的containerd,使用时不在使用docker拉取镜像,这就带来了一系列的问题。解决镜像拉取问题(原因外网屏蔽拉取不到使用国内加速器)contained的配置文件在/etc/containerd/config.toml解决devops安装失败问题。查看安装器配置文件(devops已经关闭)找到如上registry的配置部分,加上阿里云的镜像加速配置。重启containerd。
科普文:K8S中常见知识点梳理
为无为,事无事,味无味。
07-09 732
比如,可以指定一个 Pod 只能被调度到与指定节点具有相同标签的节点上,或者指定一个 Pod 不能被调度到与指定节点具有相同标签的节点上。在这种方式下,Kubernetes 会根据当前节点的资源使用情况,将 Pod 动态地调度到具有可用资源的节点上,从而实现资源的最优分配。通过为节点打上不同的标签,可以让 Kubernetes 将特定类型的 Pod 调度到具有相应标签的节点上。集群自动伸缩(Cluster Autoscaler):根据集群节点的资源利用率,动态地增加或减少节点的数量,以适应不同的负载需求。
Kubernetes 为pod指定DNS
小楼一夜听春雨,深巷明朝卖杏花
07-09 574
所以说当创建pod的时候,并没有指定使用的是哪个DNS服务器,pod里面指定的是clusterfirst,优先使用集群里面的dns,kubelet知道既然使用集群里面的dns,那么集群里面的dns就是clusterdns 10.96.0.10。这里有dnsPolicy,设置为ClusterFirst ,表示优先使用集群里面的DNS服务器,那么集群里面的DNS服务器是谁呢?那么创建pod的时候可不可以去修改它所使用的dns呢?这样创建的pod不再使用集群里面的dns了,而是使用指定的dns,
k8s集群新增节点
最新发布
m0_48275578的博客
07-13 715
2.1 的命令建议Master、node 01、node 02、node 03上同时执行。注意:2.2~2.7的命令仅在node 03上执行,2.1除外,在全部节点同时执行。5.1~5.2的命令,需要在Master、node 01、node 02上同时执行。2.2~2.7的命令,此次仅node 03上同时执行,2.1除外。注意:3.1~3.5的命令仅在node03上执行。3.1~3.5的命令,仅在node 03上执行。4.1~4.4的命令,仅在node03 上执行。仅在node 03节点上操作。
rke2部署rancher
10-13
要在 Kubernetes 集群中部署 Rancher,可以使用 RKE2 工具。RKE2 是 Rancher Kubernetes Engine 2 的简称,是 Rancher Labs 推出的 Kubernetes 发行版,具有轻量、易用、安全等特点。下面是部署 Rancher 的步骤: 1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值