Linux运维容器篇 k8s单节点二进制部署(1) ECTD部署+CA证书制作

最新推荐文章于 2023-03-15 15:03:34 发布
最新推荐文章于 2023-03-15 15:03:34 发布
阅读量515 收藏 1
点赞数
分类专栏: k8s 文章标签: 容器 k8s devops linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49172531/article/details/117999490
版权

文章目录

一、环境配置

主master节点 192.168.30.132 组件 kube-apiserver kube-controller-manager kube-scheduler etcd
从节点slave1 192.168.30.133 组件 kubelet kube-proxy docker flannel etcd
从节点slave2 192.168.30.134 组件 kubelet kube-proxy docker flannel etcd
从节点默认安装docker 主节点不用安装

#docker部署
yum install -y yum-utils device-mapper-persistent-data lvm2
cd /etc/yum.repos.d/
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
yum install -y docker-ce
systemctl stop firewalld
systemctl disable firewalld
setenforce 0
systemctl start docker
systemctl enable docker
#镜像加速
sudo mkdir -p /etc/docker
sudo tee /etc/docker/daemon.json <<-'EOF'
> {
>   "registry-mirrors": ["https://xxxxxx.mirror.aliyuncs.com"]
> }
> EOF
{
  "registry-mirrors": ["https://xxxxxx.mirror.aliyuncs.com"]
}
sudo systemctl daemon-reload
sudo systemctl restart docker
vim /etc/sysctl.conf 
sysctl -p
systemctl restart docker

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

二、制作CA证书

1.传入脚本

etcd-cert.sh 是证书制作的脚本
etcd.sh etcd启动脚本

mkdir k8s
cd k8s
ls
rz -E
ls
etcd-cert.sh  etcd.sh
cat etcd-cert.sh

在这里插入图片描述

2.创建CA证书

在k8s目录下创建etcd-cert 放k8s的证书
将工具放入usr/local/bin目录下 让系统识别  +x 给予权限
三个工具 
cfssl是生成证书的工具'
cfssl-certinfo查看证书信息
cfssljson通过传入json文件生成证书
cd /etcd-cert 开始创建
cat etcd-cert.sh 
cat > ca-config.json <<EOF			#CA证书配置文件(用于申请授权)
{
  "signing": {						#键名称
    "default": {
      "expiry": "87600h"			#证书有效期(10年)->证书默认时间是多久1年,1年k8s做了更新,把你的证书续一年
    },
    "profiles": {					#简介
      "www": {						#名称
         "expiry": "87600h",
         "usages": [				#使用方法
            "signing",				#键
            "key encipherment",		#密钥验证(密钥验证要设置在CA证书中)
            "server auth",			#服务器端验证
            "client auth"			#客户端验证
        ]
      }
    }
  }
}
EOF

cat > ca-csr.json <<EOF				#CA签名文件
{
    "CN": "etcd CA",				#CA签名定义的对象etcd集群(三个节点均需要)
    "key": {
        "algo": "rsa",				#使用rsa非对称密钥的形式
        "size": 2048				#密钥长度为2048
    },
    "names": [						#在证书中定义信息(标准格式)
        {
            "C": "CN",				#名称
            "L": "Beijing",		
            "ST": "Beijing"		
        }
    ]
}
EOF
cfssl gencert -initca ca-csr.json | cfssljson -bare ca -
生成证书,创建,初始化ca,使用到ca的签名文件;使用cfssljson格式创建一个ca证书

在这里插入图片描述
在这里插入图片描述

3 指定节点通讯证书

cd etcd-cert/
cat > server-csr.json <<EOF
cat > server-csr.json <<EOF
> {
>     "CN": "etcd",
>     "hosts": [
>     "192.168.30.132",        三个etcd的地址
>     "192.168.30.133",
>     "192.168.30.134"
>     ],
>     "key": {
>         "algo": "rsa",
>         "size": 2048
>     },
>     "names": [
>         {
>             "C": "CN",
>             "L": "BeiJing",
>             "ST": "BeiJing"
>         }
>     ]
> }
> EOF
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server
制作证书 server证书的生成依赖于ca证书,server构建集群之间的彼此通讯

在这里插入图片描述
在这里插入图片描述

三 部署etcd集群

1 安装etcd包并传入证书

tar zxvf etcd-v3.3.10-linux-amd64.tar.gz
cd /root/k8s/etcd-v3.3.10-linux-amd64/
ls
mkdir -p /opt/etcd/{cfg,bin,ssl}
mv etcd etcdctl /opt/etcd/bin/
cp /root/k8s/etcd-cert/*.pem /opt/etcd/ssl/
ls /opt/etcd/ssl/
ca-key.pem  ca.pem  server-key.pem  server.pem

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

配置etcd启动脚本并生成cfg文件

'//此时还缺cfg的配置文件,以及用来管理的启动脚本'

 vim /root/k8s/etcd.sh		'//撰写一个启动脚本'

#!/bin/bash
# example: ./etcd.sh etcd01 192.168.78.55 etcd02=https://192.168.78.66:2380,etcd03=https://192.168.78.77:2380
					                                   '//命令使用示例'
ETCD_NAME=$1		                                   '//位置变量:节点名称'
ETCD_IP=$2			                                   '//节点ip'
ETCD_CLUSTER=$3		                                   '//etcd集群,名称、ip地址及端口'

WORK_DIR=/opt/etcd		                               '//工作目录'

cat <<EOF >$WORK_DIR/cfg/etcd		                   '//生成etcd配置文件'
#[Member]
ETCD_NAME="${ETCD_NAME}"							   '//etcd名称,调用变量'
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"			   '//数据存储路径'
ETCD_LISTEN_PEER_URLS="https://${ETCD_IP}:2380"		'//监听集群,node节点的ip及端口,首先开启自身2380端口'
ETCD_LISTEN_CLIENT_URLS="https://${ETCD_IP}:2379"	   '//监听2379业务端口'

#[Clustering]		                                   '//构建集群'
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://${ETCD_IP}:2380"	'//暴露本地2380'
ETCD_ADVERTISE_CLIENT_URLS="https://${ETCD_IP}:2379"		'//其他集群2379'
ETCD_INITIAL_CLUSTER="etcd01=https://${ETCD_IP}:2380,${ETCD_CLUSTER}"		'//本地地址及2380端口+集群(三个节点统一加入进来)'
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"		            '//token名称'
ETCD_INITIAL_CLUSTER_STATE="new"				            '//new新建状态'
EOF

cat <<EOF >/usr/lib/systemd/system/etcd.service		'//构建启动脚本'
[Unit]
Description=Etcd Server
After=network.target			                    '//etcd启动依赖于网络基本组件的启动'
After=network-online.target		                    '//网络需要先稳定运行才能启动etcd'
Wants=network-online.target		                    '//以上三段为对网络的定义'

[Service]
Type=notify		                                    '//触发调用'
EnvironmentFile=${WORK_DIR}/cfg/etcd		        '//定义变量,指定etcd配置文件'
ExecStart=${WORK_DIR}/bin/etcd \			        '//启动文件指定启动脚本'
--name=\${ETCD_NAME} \		                        '//名称,调用变量'
--data-dir=\${ETCD_DATA_DIR} \		                '//数据存放'
--listen-peer-urls=\${ETCD_LISTEN_PEER_URLS} \		'//匹配监听地址'	
--listen-client-urls=\${ETCD_LISTEN_CLIENT_URLS},http://127.0.0.1:2379 \		'//监听地址、'
--advertise-client-urls=\${ETCD_ADVERTISE_CLIENT_URLS} \
--initial-advertise-peer-urls=\${ETCD_INITIAL_ADVERTISE_PEER_URLS} \
--initial-cluster=\${ETCD_INITIAL_CLUSTER} \
--initial-cluster-token=\${ETCD_INITIAL_CLUSTER_TOKEN} \		'//令牌,新创建的状态'
--initial-cluster-state=new \
--cert-file=${WORK_DIR}/ssl/server.pem \		                '//指向证书,匹配'
--key-file=${WORK_DIR}/ssl/server-key.pem \
--peer-cert-file=${WORK_DIR}/ssl/server.pem \
--peer-key-file=${WORK_DIR}/ssl/server-key.pem \
--trusted-ca-file=${WORK_DIR}/ssl/ca.pem \
--peer-trusted-ca-file=${WORK_DIR}/ssl/ca.pem
Restart=on-failure
LimitNOFILE=65536		                                       '//进程上限'

[Install]
WantedBy=multi-user.target		                               '//属于多用户登录模式'
EOF

systemctl daemon-reload			                             '//加载系统参数,开机自启动及重复服务'
systemctl enable etcd
systemctl restart etcd

'//执行完脚本后会生成etcd配置文件与etcd.service启动文件'

启动启动脚本
 bash etcd.sh etcd01 192.168.30.132 etcd02=https://192.168.30.133:2380,etcd03=https://192.168.30.134:2380
此时会卡住 因为两个node节点未部署 所以会报错 先不管他

在这里插入图片描述

配置node节点配置

先拷贝文件到node节点修改
etcd工作目录拷贝至另外两个节点,-r表示递归复制
scp -r /opt/etcd/ root@192.168.30.133:/opt/
scp -r /opt/etcd/ root@192.168.30.134:/opt/
拷贝启动脚本
scp /usr/lib/systemd/system/etcd.service root@192.168.30.133:/usr/lib/systemd/system/
scp /usr/lib/systemd/system/etcd.service root@192.168.30.133:/usr/lib/systemd/system/
修改node节点的配置文件 两个都要修改
vim /opt/etcd/cfg/etcd
#[Member]
ETCD_NAME="etcd02"											'//修改etcd名称'
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
ETCD_LISTEN_PEER_URLS="https://192.168.30.133:2380"			'//监听集群,这里为本机ip地址(node)'
ETCD_LISTEN_CLIENT_URLS="https://192.168.78.133:2379"		'//改为本机ip'

#[Clustering]
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://192.168.30.133:2380"		'//暴露本地ip,修改为本机ip'
ETCD_ADVERTISE_CLIENT_URLS="https://192.168.30.133:2379"			'//修改为本机ip'
ETCD_INITIAL_CLUSTER="etcd01=https://192.168.30.132:2380,etcd02=https://192.168.30.133:2380,etcd03=https://192.168.30.134:2380"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_INITIAL_CLUSTER_STATE="new"
systemctl start etcd.service && systemctl enable etcd.service  启动
systemctl status etcd.service  查看状态

在这里插入图片描述
在这里插入图片描述

主节点检查节点健康状态

cd /opt/etcd/ssl
/opt/etcd/bin/etcdctl --ca-file=ca.pem --cert-file=server.pem --key-file=server-key.pem --endpoints="https://192.168.30.132:2379,https://192.168.30.133:2379,https://192.168.30.134:2379" cluster-health
etcdctl管理etcd,后面指定证书,注意为相对路径

在这里插入图片描述

鹧鸪鹄
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
etcd二进制安装,启动节点https证书
weixin_46923884的博客
03-16 605
etcd节点安装; 1, 生成 TLS 秘钥对 生成步骤: 1,下载 cfssl 2,初始化证书颁发机构 3,配置 CA 选项 4,生成服务器端证书 5,生成对等证书 6,生成客户端证书 1,下载 cfssl mkdir ~/bin curl -s -L -o ~/bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 curl -s -L -o ~/bin/cfssljson https://pkg.cfssl.org/R1.2/cfsslj.
ETCD 部署并启用证书认证
追梦者的部落格
06-29 4478
证书生成 证书生成的方式非常多,同类的文档也很容易找到,这里推荐此篇文章:https://coreos.com/os/docs/latest/generate-self-signed-certificates.html,但是由于etcd的特殊性,server端配置的证书,也会被用于去进行客户端认证,因此需要在 server 的 usages 里面加上:client auth选项,否则会出现此种问题:certificate specifies an incompatible key usage 下面是完整的c
技术文档:Kubernetes二进制部署 --etcd部署
weixin_51614581的博客
04-12 307
etcd部署环境部署master操作加入执行脚本下载证书制作工具下载cfssl官方包开始制作证书定义ca证书实现证书签名生产证书,生成ca-key.pem ca.pem指定etcd三个节点之间的通信验证生成ETCD证书 server-key.pem server.pemETCD 二进制包地址复制到centos7中进入卡住状态等待其他节点加入使用另外一个会话打开,会发现etcd进程已经开启node操作拷贝证书去其他节点启动脚本拷贝其他节点在node01节点修改启动在node02节点修改启动检查群集状态
K8S二进制部署之定义CA证书与ETCD
l17605229954的博客
11-01 584
1、 服务器向认证:只需要服务器端提供证书,客户端通过服务器端证书验证服务的身份,但服务器并不验证客户端的身份。④ 客户端私钥:客户端证书中包含的公钥所对应的私钥,同理,客户端使用该私钥来向服务器端证明自己是客户端证书的拥有者。⑤ 服务器端 CA证书:签发服务器端证书CA证书,客户端使用该 CA证书来验证服务器端证书的合法性。⑥ 客户端端 CA证书:签发客户端证书CA证书,服务器端使用该 CA证书来验证客户端证书的合法性。
kubernetes部署1——ectd部署节点
weixin_51615030的博客
04-12 532
kubernetes——ectd部署节点)一、环境部署二、部署Master11、创建K8s目录2、将证书脚本和服务脚本拖进目录3、下载证书制作工具4、制作caca签名并创建ca证书5、Server证书的创建6、安装etcd三、修改node1四、修改node2五、查看集群状态 #部署三个数据库是最稳妥的 一、环境部署 角色 IP 组件 Master1 192.168.200.11 kube-apiserver、kube-controller-manager、kube-scheduler.
离线部署k8s_1.18.3集群(二进制方式).zip
05-06
在Worker节点上,同样需要安装Docker和k8s二进制文件。然后,配置`kubelet`以连接到Master节点,并启动`kubelet`服务。 **9. 验证集群状态** 使用`kubectl`命令行工具检查集群状态,确保所有节点都已加入并正常工作...
ansible一键部署k8s1.16集群-二进制方式部署k8s集群,安装包和详细笔记
最新发布
05-27
这包括下载k8s二进制文件、配置kubelet、apiserver等服务,并确保服务间的正确通信。 7. **详细笔记**:在部署过程中,详细记录每一步的操作,以便于后期维护和故障排查。笔记应涵盖所有关键步骤、配置选项以及可能...
二进制部署 + kubernetes + 1.25.5
01-11
二进制部署是指直接将编译好的可执行二进制文件部署到目标环境中,而Kubernetes(简称k8s)则是一种广泛应用的容器编排系统,用于自动化容器化应用的部署、扩展和管理。在这个场景中,提到的是"二进制部署 + ...
ansible一键部署k8s1.16集群新增node节点-二进制-参考
06-28
ansible一键部署k8s1.16集群新增node节点二进制—参考
K8s搭建部署、docker部署linux内核升级,k8s升级操作
04-15
K8s搭建部署、docker部署linux内核升级,k8s升级操作
快速部署k8s机版
01-07
先准备好一台centos7虚拟机(2cpu,2g内存),可以参考https://blog.csdn.net/weixin_42182501/article/details/104346125 k8s机版,主要目的是快速部署,供我们试验和学习k8s之用。 我们这里部署的kubernetes 1.13版本 一,关闭selinux和firewalld # setenforce 0 # systemctl stop firewalld # sed -i 's/^SELINUX=enforcing$/SELINUX=disabled/' /etc/selinux/config # systemctl
etcd-cert-server:通过HTTP提供etcd客户端TLS的密钥证书
04-27
etcd-cert-server 通过HTTP提供etcd客户端TLS的密钥/证书
[云原生k8s] k8s的CA证书创建和使用及ETCD集群
m0_71521555的博客
11-03 1704
CA证书及ETCD集群部署
二进制搭建Kubernetes集群(上)——部署etcd集群和master
m0_73464307的博客
02-20 799
这篇文章开始介绍二进制搭建 Kubernetes v1.20,由于内容过多,分三篇介绍。目前Kubernetes最新版本是v1.24,但大部分公司一般不会使用最新版本,而是老版本中的v1.15,或者新版本的v1.18、v1.20,其中v1.16改变了很多API接口版本。
【云原生】二进制部署k8集群(上)搭建机matser和etcd集群
qq_62462797的博客
12-07 925
目前Kubernetes最新版本是v1.25,但大部分公司一般不会使用最新版本。目前公司使用比较多的:老版本是v1.15,因为v1.16改变了很多API接口版本,国内目前使用比较多的是v1.18、v1.20。 组件部署: 注意:该操作在所有node节点上进行,为k8s集群提供适合的初始化部署环境 etcd是Coreos团队于2013年6月发起的开源项目,它的目标是构建一个 高可用的分布式键值(key-value) 数据库。etcd内 部采用raft协议作为一致性算法,e
[云原生k8s] k8s的CA证书创建和使用
weixin_71429850的博客
11-03 1883
Etcd 是一个分布式键值存储系统,Kubernetes 使用 Etcd 进行数据存储,所以先准备 一个 Etcd 数据库,为解决 Etcd 点故障,应采用集群方式部署,这里使用 3 台组建集 群,可容忍 1 台机器故障,当然,你也可以使用 5 台组建集群,可容忍 2 台机器故障。ETCD_INITIAL_CLUSTER_STATE:加入集群的当前状态,new 是新集群,existing 表示加入 已有集群。ETCD_INITIAL_ADVERTISE_PEER_URLS:集群通告地址。
ETCD的创建
learnalwaystodie的博客
12-23 941
etcd安装摘要
K8s搭建(节点)
酸菜鱼的博客
08-04 5056
k8s搭建节点
Linux教程:如何使用kubeadm从头到尾搭建k8s节点服务并部署dashboard
wfeil211的博客
03-15 1566
Linux教程:如何使用kubeadm从头到尾搭建k8s机服务并部署dashboard

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值