ETCD集群搭建和TLS证书访问

最新推荐文章于 2024-05-11 19:30:49 发布
最新推荐文章于 2024-05-11 19:30:49 发布
阅读量2.6k 收藏 4
点赞数
文章标签: etcd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaozhiit/article/details/108304488
版权

安装 CFSSL

直接使用二进制源码包安装
mkdir ~/bin
curl -s -L -o ~/bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
curl -s -L -o ~/bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
chmod +x ~/bin/{cfssl,cfssljson}
export PATH=$PATH:~/bin
创建默认配置文件
cfssl print-defaults config > ca-config.json
cfssl print-defaults csr > ca-csr.json
证书类型介绍
  • 客户端证书用于服务器验证客户端身份
  • 服务器端证书用于客户端验证服务器端身份
  • 对等证书由etcd集群成员使用,同时使用客户端认证和服务器端认证
配置CA

修改ca-config.json

{
    "signing": {
        "default": {
            "expiry": "99999h"
        },
        "profiles": {
            "server": {
                "expiry": "99999h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth"
                ]
            },
            "client": {
                "expiry": "99999h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "client auth"
                ]
            },
            "peer": {
                "expiry": "99999h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth",
                    "client auth"
                ]
            }
        }
    }
}
配置证书请求

修改ca-csr.json,可以根据自己的需求修改对应字段

{
    "CN": "My own CA",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "O": "work",
            "ST": "BeiJing"
        }
    ]
}
生成CA证书

运行以下命令生成CA证书

cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

生成以下文件

ca-key.pem
ca.csr
ca.pem
  • ca-key.pem为CA的私钥,请妥善保管
  • csr文件为证书请求文件,可以删除
生成服务器端证书
cfssl print-defaults csr > server.json

修改server.json的CN和hosts字段,names字段按需修改

{
    "CN": "etcd",
    "hosts": [
        "127.0.0.1",
        "0.0.0.0",
        "10.0.0.0/8"
    ],
    "key": {
        "algo": "ecdsa",
        "size": 256
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing"
        }
    ]
}

创建服务器端证书和私钥

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=server server.json | cfssljson -bare server

生成以下文件

server-key.pem
server.csr
server.pem
生成客户端证书
cfssl print-defaults csr > client.json

修改client.json,客户端证书不需要hosts字段,只需要CN字段设置为client

{
    "CN": "client",
    "hosts": [
       ""
    ],
    "key": {
        "algo": "ecdsa",
        "size": 256
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing"
        }
    ]
}

生成以下文件

client-key.p
最低0.47元/天 解锁文章
hey,emmby
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
etcd v3开启认证完整步骤&认证相关问题解决
空山新雨后,天气晚来秋
05-18 2281
etcd v3开启认证完整步骤&认证相关问题解决
etcd二进制安装,启动单节点https证书
weixin_46923884的博客
03-16 604
etcd单节点安装; 1, 生成 TLS 秘钥对 生成步骤: 1,下载 cfssl 2,初始化证书颁发机构 3,配置 CA 选项 4,生成服务器端证书 5,生成对等证书 6,生成客户端证书 1,下载 cfssl mkdir ~/bin curl -s -L -o ~/bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 curl -s -L -o ~/bin/cfssljson https://pkg.cfssl.org/R1.2/cfsslj.
图解Kubernetes中的etcd访问
wuzd的专栏
01-23 1945
目录 文章目录 前言 一、etcd是什么? 二、使用步骤 1.在k8s查看安装好的etcd ​2.进入k8s的etcd 3.指定etcd的版本3 ​ 4.查看集群所有节点(etcdctl member list) ​ 5.写入测试数据(etcdctl put /testdir/testkey "Hello world1") 6.读出测试数据(etcdctl get /testdir/testkey) ​ 总结 文章目录 前言 一、pandas是什么? 二、使用步骤.
2024年网络安全最全Etcd教程 — 第四章 Etcd集群安全配置_etcd 集群配置,网络安全程序员最大的悲哀是什么
最新发布
2401_84266016的博客
05-11 615
本文是在Etcd教程 — 第二章 Etcd集群静态发现 2.3节基础上进行的。: 用于服务端认证客户端,例如etcdctl、etcd proxy、fleetctl、docker客户端。: 服务端使用,客户端以此验证服务端身份,例如docker服务端、kube-apiserver。: 双向证书,用于etcd集群成员间通信。
etcd入门系列四:开启客户端证书访问
一二三四吾
11-25 4404
etcd入门系列 一. etcd在docker中的安装与使用 二. etcd 开启 https 三. 身份验证访问控制 四. 开启客户端证书访问 1. 生成客户端证书 生成client.json: $ cfssl print-defaults csr > client.json 编辑 client.json 的修改 CN 值为 cliet ... "CN": "client", ...
CC00053.CloudKubernetes——|KuberNetes&二进制部署.V06|3台Server|——|etcd配置|
yanqi_vip
03-29 265
一、kubernetes系统组件配置:ETCD配置 ### --- k8s-master01节点etcd.yaml配置 ~~~ etcd配置大致相同,注意修改每个Master节点的etcd配置的主机名和IP地址 ### --- k8s-master01.etcd.yaml配置文件 [root@k8s-master01 ~]# vim /etc/etcd/et...
etcd 集群部署包 TLS.tar.gz
06-29
**etcd集群部署详解** etcd是一个分布式的、高可用的键值存储系统,用于共享配置...通过理解TLS的工作原理和etcd集群的部署步骤,我们可以构建一个安全、高可用的etcd集群,为k8s提供稳定且安全的服务发现和配置管理。
一键安装高可用etcd集群(TLS
11-21
# 一键安装高可用etcd集群(TLS) # qq/wx: 48092788 e-mail: gcode@qq.com # blog: https://blog.csdn.net/guestcode # create: 2018-11-21 ############################################################ #...
etcd-cert-server:通过HTTP提供etcd客户端TLS的密钥证书
04-27
etcd集群中,TLS证书的使用对于实现安全的客户端与服务器之间的身份验证和数据加密至关重要。 etcd是分布式键值存储系统,广泛应用于微服务架构中的服务发现、配置管理等领域。为了确保etcd集群间的通信安全,...
ansible-role-etcd:安装etcd集群的角色
01-31
3. **配置etcd**:配置etcd的配置文件,包括设置集群成员、初始状态、监听地址、证书和密钥等。 4. **启动和管理etcd服务**:启动etcd服务,设置为开机启动,确保服务的稳定运行。 5. **集群初始化**:可能包含创建...
kubeadm初始化高可用k8s1.20.4集群-etcd集群独立在k8s集群外详细笔记资料包
06-27
2. **证书管理**:HA部署涉及多个组件间的通信,需妥善管理SSL/TLS证书,确保安全通信。 3. **存储规划**:etcd数据需要持久化存储,避免数据丢失,应考虑使用可靠的存储解决方案。 通过以上步骤,您可以使用...
Etcd教程 — 第五章 Etcdetcdctl的使用
Mr_XiMu的博客
06-26 6757
Etcd教程 — 第五章 Etcdetcdctl的使用
2024年全国职业技能大赛“网络安全赛项”国赛 模块B 任务解析(超详细)_2024年全国职业院校技能大赛高职组“网络空间安全(1)
2401_84247559的博客
04-26 524
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。,毕竟实战是检验真理的唯一标准嘛~最后就是项目实战,这里带来的是。
etcd集群搭建使用
robinhunan的博客
12-09 2558
ETCD是用于共享配置和服务发现的分布式,一致性的KV存储系统。ETCD是CoreOS公司发起的一个开源项目,授权协议为Apache。
K8s 系列(三) - 如何配置 etcd https 证书
astraw99 的博客
08-29 1402
在 K8s 中,kube-apiserver 使用 etcd 对 REST object 资源进行持久化存储,本文介绍如何配置生成自签 https 证书,搭建 etcd 集群给 apiserver 使用,并附相关坑点记录。 1. 安装 cfssl 工具 cd /data/work wget https://github.com/cloudflare/cfssl/releases/download/v1.6.0/cfssl_1.6.0_linux_amd64 -O cfssl wget https://gi
Etcd安全配置之Basic Auth认证
Galaxy_0的博客
01-10 495
Etcd安全配置之Basic Auth认证
在Java中调用ETCD使用JETCD--API3 基础部分
qq_35336312的博客
06-03 3694
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
TLS 配置和使用
laughing_cui的专栏
09-12 4152
TLS 配置和使用  该源代码里包含了TLS的配置和相应的证书文件。  文件夹里包含证书,pjproject中TLS的支持需要在文件config_site.h中增加预编译#define PJ_HAS_SSL_SOCK 1。(但是好像有问题,需要在H:\Projects\hsp01_dep_bin\static_library\pjproject\pjproject_inc\pj\config_
配置Etcd集群和TLS认证
weixin_34235135的博客
02-20 794
一、安装前准备etcd软件版本:etcd-v3.3.10-linux-amd64.tar.gz系统:centos7.3防火墙关闭systemctl stop firewalldsystemctl disable firewalldselinux关闭配置/etc/hosts(三台操作)192.168.159.121 k8s-master-01192.168.159.122...
k8s(kubernetes)相关重要知识点-详细文档
06-21
3. 自签CA证书:自签证书时,需注意预留IP地址,特别是在创建etcd和apiserver的证书时,证书的hosts列表应包含所有可能的IP,包括集群内现有和未来可能添加的节点,以及负载均衡器或VIP的IP,以便于扩展。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值