ETCD集群搭建和TLS证书访问

最新推荐文章于 2024-04-28 10:35:56 发布
最新推荐文章于 2024-04-28 10:35:56 发布
阅读量2.7k 收藏 4
点赞数
文章标签: etcd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaozhiit/article/details/108304488
版权

安装 CFSSL

直接使用二进制源码包安装
mkdir ~/bin
curl -s -L -o ~/bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
curl -s -L -o ~/bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
chmod +x ~/bin/{cfssl,cfssljson}
export PATH=$PATH:~/bin
创建默认配置文件
cfssl print-defaults config > ca-config.json
cfssl print-defaults csr > ca-csr.json
证书类型介绍
  • 客户端证书用于服务器验证客户端身份
  • 服务器端证书用于客户端验证服务器端身份
  • 对等证书由etcd集群成员使用,同时使用客户端认证和服务器端认证
配置CA

修改ca-config.json

{
    "signing": {
        "default": {
            "expiry": "99999h"
        },
        "profiles": {
            "server": {
                "expiry": "99999h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth"
                ]
            },
            "client": {
                "expiry": "99999h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "client auth"
                ]
            },
            "peer": {
                "expiry": "99999h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth",
                    "client auth"
                ]
            }
        }
    }
}
配置证书请求

修改ca-csr.json,可以根据自己的需求修改对应字段

{
    "CN": "My own CA",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "O": "work",
            "ST": "BeiJing"
        }
    ]
}
生成CA证书

运行以下命令生成CA证书

cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

生成以下文件

ca-key.pem
ca.csr
ca.pem
  • ca-key.pem为CA的私钥,请妥善保管
  • csr文件为证书请求文件,可以删除
生成服务器端证书
cfssl print-defaults csr > server.json

修改server.json的CN和hosts字段,names字段按需修改

{
    "CN": "etcd",
    "hosts": [
        "127.0.0.1",
        "0.0.0.0",
        "10.0.0.0/8"
    ],
    "key": {
        "algo": "ecdsa",
        "size": 256
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing"
        }
    ]
}

创建服务器端证书和私钥

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=server server.json | cfssljson -bare server

生成以下文件

server-key.pem
server.csr
server.pem
生成客户端证书
cfssl print-defaults csr > client.json

修改client.json,客户端证书不需要hosts字段,只需要CN字段设置为client

{
    "CN": "client",
    "hosts": [
       ""
    ],
    "key": {
        "algo": "ecdsa",
        "size": 256
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing"
        }
    ]
}

生成以下文件

client-key.p
最低0.47元/天 解锁文章
hey,emmby
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
etcd v3开启认证完整步骤&认证相关问题解决
空山新雨后,天气晚来秋
05-18 2316
etcd v3开启认证完整步骤&认证相关问题解决
【运维】K8S集群部署系列之ETCD集群搭建(三)
weixin_39974140的博客
08-13 690
ETCD集群安全升级 【运维】K8S集群部署系列之ETCD集群搭建(一) 中已部署了由master、node1、node2三个节点组成的普通集群。创建TLS加密方式的ETCD安全集群可以采取删除旧集群重建和逐步升级的方式,相对于删除后重建的方式,逐步升级为安全集群可避免旧数据丢失,本文将采取逐步升级的方式。 证书准备 在【运维】K8S集群部署系列之ETCD集群搭建(二) 中我们已经制作了本文...
CC00053.CloudKubernetes——|KuberNetes&二进制部署.V06|3台Server|——|etcd配置|
yanqi_vip
03-29 266
一、kubernetes系统组件配置:ETCD配置 ### --- k8s-master01节点etcd.yaml配置 ~~~ etcd配置大致相同,注意修改每个Master节点的etcd配置的主机名和IP地址 ### --- k8s-master01.etcd.yaml配置文件 [root@k8s-master01 ~]# vim /etc/etcd/et...
Etcd教程 — 第四章 Etcd集群安全配置_etcd 集群配置
最新发布
2401_84239625的博客
04-28 960
本文是在Etcd教程 — 第二章 Etcd集群静态发现 2.3节基础上进行的。: 用于服务端认证客户端,例如etcdctl、etcd proxy、fleetctl、docker客户端。: 服务端使用,客户端以此验证服务端身份,例如docker服务端、kube-apiserver。: 双向证书,用于etcd集群成员间通信。
etcd监控指标-metrics
qq522044637的博客
07-04 4332
Metrics metrics用于实时监控和调试。 etcd不会保留metrics,当成员发生重启,metrics将被重置。所以etcd可结合prometheus,对etcd进行监控。 查看metrics的最简单方法就是curl ip:port/metrics 指标名称有一个 etcd 或者 etcd_debugging前缀作为其命名空间前缀,和一个子系统前缀(例如 wal、etcdserver) etcd namespace metrics etcd前缀下的指标用于监控和警报。它们是稳
【K8S etcd篇】部署etcd 3.4.14 集群
刘元林的博客
03-02 3365
路漫漫其修远兮,坑何其多?今天不讲etcd集群的搭建步骤,只记述期间填过的坑。 etcd集群,通过etcdctl member list和etcdctl cluster-health、etcdctl endpoint health进行检查,正常效果如下: # etcdctl --peers https://192.168.35.7:2379 --ca-file=/opt/etcd/tls-certs/ca.pem --cert-file=/opt/etcd/tls-certs/etcd.pem -.
etcd-v3.1.20-linux-amd64.tar.gz
09-10
为了提高安全性,etcd支持SSL/TLS加密通信,可以设置证书和密钥,确保数据传输的安全。此外,还可以通过认证(Authentication)和授权(Authorization)机制限制对etcd访问。 **监控与维护** 为了确保etcd的健康...
windows版本 etcd-v3.5.0-windows-amd64
07-14
**etcd是什么** ...etcd-v3.5.0在Windows上的部署和使用涉及到安装、配置、集群搭建、安全设置以及监控等多个方面。了解并熟练掌握这些知识点,对于在Windows环境中构建和管理高可用的分布式系统至关重要。
etcd3.2.10版本
12-08
4. **设置安全性**:启用TLS证书,确保etcd之间的通信安全。 5. **部署Kubernetes控制平面**:使用初始化的etcd集群,按照Kubernetes的指南部署apiserver、controller-manager、scheduler等组件。 通过以上步骤,你...
最新搭建高可用K8S集群文档 (基于K8S 1.15)
10-19
- **证书管理**:Kubernetes使用TLS证书进行安全通信,定期更新和管理这些证书是必要的。 以上步骤只是基本的高可用K8S集群搭建流程,实际部署时还需要考虑更多因素,如存储解决方案、备份与恢复策略、持续集成/...
图解Kubernetes中的etcd访问
wuzd的专栏
01-23 1951
目录 文章目录 前言 一、etcd是什么? 二、使用步骤 1.在k8s查看安装好的etcd ​2.进入k8s的etcd 3.指定etcd的版本3 ​ 4.查看集群所有节点(etcdctl member list) ​ 5.写入测试数据(etcdctl put /testdir/testkey "Hello world1") 6.读出测试数据(etcdctl get /testdir/testkey) ​ 总结 文章目录 前言 一、pandas是什么? 二、使用步骤.
etcd集群搭建使用
robinhunan的博客
12-09 2567
ETCD是用于共享配置和服务发现的分布式,一致性的KV存储系统。ETCD是CoreOS公司发起的一个开源项目,授权协议为Apache。
Etcd教程 — 第五章 Etcdetcdctl的使用
Mr_XiMu的博客
06-26 6844
Etcd教程 — 第五章 Etcdetcdctl的使用
ETCD出现:certificate specifies an incompatible key usage 解决方案
追梦者的部落格
06-28 4181
问题描述: 在安装etcd 3.3.22 版本的时候,需要启用证书认证,于是我按此教程:Generate self-signed certificates 来生成自签名证书,用于etcd 各节点间、etcd server 与 client间的认证 当我按教程生成证书,配置etcd,启动服务后,etcd服务端则报出如下警告: WARNING: 2020/06/28 15:58:05 grpc: addrConn.createTransport failed to connect to {0.0.0.0:50
K8s 系列(三) - 如何配置 etcd https 证书
astraw99 的博客
08-29 1405
在 K8s 中,kube-apiserver 使用 etcd 对 REST object 资源进行持久化存储,本文介绍如何配置生成自签 https 证书,搭建 etcd 集群给 apiserver 使用,并附相关坑点记录。 1. 安装 cfssl 工具 cd /data/work wget https://github.com/cloudflare/cfssl/releases/download/v1.6.0/cfssl_1.6.0_linux_amd64 -O cfssl wget https://gi
etcd入门系列四:开启客户端证书访问
一二三四吾
11-25 4444
etcd入门系列 一. etcd在docker中的安装与使用 二. etcd 开启 https 三. 身份验证访问控制 四. 开启客户端证书访问 1. 生成客户端证书 生成client.json: $ cfssl print-defaults csr > client.json 编辑 client.json 的修改 CN 值为 cliet ... "CN": "client", ...
Etcd安全配置之Basic Auth认证
Galaxy_0的博客
01-10 503
Etcd安全配置之Basic Auth认证
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值