【K8S】二进制部署之定义CA证书与ETCD

最新推荐文章于 2024-06-20 11:46:02 发布
最新推荐文章于 2024-06-20 11:46:02 发布
阅读量367 收藏
点赞数 1
分类专栏: IT Linux 文章标签: kubernetes etcd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y1701/article/details/127642811
版权
本文详细介绍了如何在Kubernetes二进制部署中定义CA证书和ETCD集群。涵盖了CA证书的制作流程,包括创建ca-key.pem和ca.pem,以及制作master和worker node端证书。同时,讲解了K8S二进制集群部署的步骤,重点解析了ETCD集群部署,包括环境准备、docker部署、集群搭建和证书配置等环节。
摘要由CSDN通过智能技术生成

文章目录

【K8S】二进制部署之定义CA证书与ETCD

CA证书

CA证书中包含密钥对 (rsa 非对称密钥)
CA证书可以对通信加密,同时标识身份的唯一性
.pem :证书

制作K8S集群证书流程

制作官方颁发的证书:

  • 创建ca密钥(文件定义) ca-key.pem
  • 创建ca证书(文件定义) ca.pem

制作master端的证书

用于内部加密通讯,同时为了给与Client端颁发master签名的证书

创建过程:需要以下几部

设置私钥 确保安全加密 .pem

私钥签名 确保身份真实 .csr

制作证书(需要CA官方颁发) cert.pem

  • 创建私钥
  • 私钥签名
  • 使用ca证书与密钥证书签名

制作worker node端证书

  • 由master端制作node端密钥
  • 对node端的证书进行签名
  • 创建一个配置文件(区别于服务端,进行客户端验证)
  • 生成证书

CA 证书机构 (签发电子证书)

在 Kubernetes 的组件之间进行通信时,数字证书的验证是在协议层面通过 TLS 完成的,除了需要在建立通信时提供相关的证书和密钥外,在应用层面并不需要进行特殊处理。采用 TLS 进行验证有两种方式:

  1. 服务器单向认证:只需要服务器端提供证书,客户端通过服务器端证书验证服务的身份,但服务器并不验证客户端的身份。这种情况
    一般适用于对Internet开放的服务,例如搜索引擎网站,任何客户端都可以连接到服务器上进行访问,但客户端需要验证服务器的身份,以避免连接到伪造的恶意服务器
  2. 双向 TLS 认证:除了客户端需要验证服务器的证书,服务器也要通过客户端证书验证客户端的身份。这种情况下服务器提供的是敏感信息
    ,只允许特定身份的客户端访问。在Kubernetes中,各个组件提供的接口中包含了集群的内部信息。如果这些接口被非法访问,将影响集群的安全,因此组件之间的通信需要采用双向TLS认证。即客户端和服务器端都需要验证对方的身份信息。在两个组件进行双向认证时,会涉及到下面这些证书相关的文件:
  • 服务器端证书:服务器用于证明自身身份的数字证书,里面主要包含了服务器端的公钥以及服务器的身份信息
  • 服务器端私钥:服务器端证书中包含的公钥所对应的私钥。公钥和私钥是成对使用的,在进行TLS验证时,服务器使用该私钥来向客户端
    证明自己是服务器端证书的拥有者
  • 客户端证书:客户端用于证明自身身份的数字证书,里面主要包含了客户端的公钥以及客户端的身份信息
  • 客户端私钥:客户端证书中包含的公钥所对应的私钥,同理,客户端使用该私钥来向服务器端证明自己是客户端证书的拥有者
  • 服务器端 CA 根证书:签发服务器端证书的 CA 根证书,客户端使用该 CA 根证书来验证服务器端证书的合法性
  • 客户端端 CA 根证书:签发客户端证书的 CA 根证书,服务器端使用该 CA 根证书来验证客户端证书的合法性

K8S 二进制集群部署

k8s 默认有三种部署方式:Minikube 、kubeadm、 二进制 ————》工具部署/云平台部署

分为几个模块部署

  • ETCD集群
  • FLANNEL网络
  • 单master部署
  • node部署
  • 多master署(LB部署haproxy + keepalived 或者nginx + keepalived )

ETCD集群部署

官网源码包下载:https://github.com/kubernetes/kubernetes/releases?after=v1.13.1
ETCD 二进制包地址:https://github.com/etcd-io/etcd/releases

环境

master 192.168.116.140
node01 192.168.116.141
node02 192.168.116.142 
192.168.116.140 master
192.168.116.141 node01
192.168.116.142 node02

systemctl stop firewalld
systemctl disable firewalld
setenforce 0

docker部署

yum install -y yum-utils device-mapper-persistent-data lvm2

cd /etc/yum.repos.d/
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

yum install -y docker-ce

systemctl start docker
systemctl enable docker

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jdnWpaRR-1667312694422)(F:\typorase\jpg\1083.png)]

最低0.47元/天 解锁文章
奇奇怪怪^
关注
专栏目录
K8S二进制部署详解,一文教会你部署高可用K8S集群
景天科技苑
02-07 4140
虽然kubeadm方式搭建K8S比较简单,但是对里面的原理都不清楚的话,生产中使用功能可能不便于排查故障。二进制方式部署k8s集群比较稳定。 二进制方式搭建:在官网下载相关组件的二进制包,如果手动安装,对kubernetes理解也会更全面。 Kubeadm和二进制都适合生产环境,在生产环境运行都很稳定,具体如何选择,可以根据实际项目进行评估。
kubernetesk8s二进制部署——etcd部署
weixin_51613313的博客
04-12 763
k8s一、 相关概述1.1 k8s简介1.2 k8s特性1.3 k8s群集架构与组件1.4 k8s核心概念1.5 k8s三种部署方式二、模拟实验master节点node1节点node2节点master节点 一、 相关概述 1.1 k8s简介 kubernetes,简称k8s,是Google在2014年开源的一个容器群集管理系统。 k8s用于容器化应用程序的部署,扩展和管理。 k8s提供了容器编排,资源调度,弹性伸缩,部署管理,服务发现等一系列功能。 k8s的目标是让部署容器化应用简单高效。 官方网站 1
etcd证书
learnalwaystodie的博客
02-23 2500
wget "https://pkg.cfssl.org/R1.2/cfssl_linux-amd64" -O /usr/local/bin/cfssl wget "https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64" -O /usr/local/bin/cfssljson 1: cfssl gencert -initca ca-csr.json | cfssljson -bare ca - ca-csr.json #根请求,包括域名 国家 城市 ..
K8S二进制部署定义CA证书ETCD
l17605229954的博客
11-01 621
1、 服务器单向认证:只需要服务器端提供证书,客户端通过服务器端证书验证服务的身份,但服务器并不验证客户端的身份。④ 客户端私钥:客户端证书中包含的公钥所对应的私钥,同理,客户端使用该私钥来向服务器端证明自己是客户端证书的拥有者。⑤ 服务器端 CA证书:签发服务器端证书CA证书,客户端使用该 CA证书来验证服务器端证书的合法性。⑥ 客户端端 CA证书:签发客户端证书CA证书,服务器端使用该 CA证书来验证客户端证书的合法性。
k8s etcd ca证书生成
sweetCandy_m的博客
04-20 1103
1、下载生成ca证书的插件cfssl cfssljson cfssl-certinfo wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 2、将cfssl cfssljson cfssl-certinfo修改为可执行文件 ch
[云原生k8s] k8sCA证书创建和使用
weixin_71429850的博客
11-03 2405
Etcd 是一个分布式键值存储系统,Kubernetes 使用 Etcd 进行数据存储,所以先准备 一个 Etcd 数据库,为解决 Etcd 单点故障,应采用集群方式部署,这里使用 3 台组建集 群,可容忍 1 台机器故障,当然,你也可以使用 5 台组建集群,可容忍 2 台机器故障。ETCD_INITIAL_CLUSTER_STATE:加入集群的当前状态,new 是新集群,existing 表示加入 已有集群。ETCD_INITIAL_ADVERTISE_PEER_URLS:集群通告地址。
etcd 查看所有key_k8s学习-cfssl创建etcd和master需要的证书
weixin_42509888的博客
12-21 304
第一步,自建CA,需要两个配置文件执行命令cfssl gencert -initca ca-csr.json | cfssljson -bare ca - 。得到文件ca-key.pem(私钥)和ca.pem(证书)。第二步,申请etcd证书,一个配置文件,只需要调整里面的etcd节点执行命令cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=c...
K8S二进制部署
weixin_55609814的博客
08-13 586
K8S二进制部署Kubernetes 集群部署(一)1.官方提供的三种部署方式minikube:kubeadm:二进制包:2.Kubernetes 平台环境规划3.自签 SSL 证书4.Etcd 数据库集群部署二进制)①环境部署②下载证书制作工具及制作证书③指定 etcd 三个节点之间通讯验证的证书(安全认证)④下载 etcd 与 flannel 的二进制包⑤为 etcd 创建工作目录并完善⑥撰写 etcd 启动脚本与生成其 cfg 配置文件⑦第一次尝试执行启动脚本⑧完善两个 node 节点配置⑨再次尝试
K8S二进制部署---单节点master
.銀河狙擊手的博客
03-24 1760
一.环境准备  先准备3台主机,首先搭建Master单节点集群。  因为 Master 是整个 K8S 集群的大脑,没有 Master 接下来的每一步操作都会变得不可控。     同时我们需要在节点上同时搭建 etcd 存储集群:     在生产环境中会使用 etcd 集群做高可用,它的数目必须是3台或3台以上的奇数台。     etcd 存储单独部署可以节约存储,和 Master 放在一起方便内网通信节约机器。     只要能保证内网环境稳定和服务器数量充足,一般都会单独部署K8S 集群 Mas
minikube-client:为Minikube生成客户端证书
03-21
迷你客户端 生成MinikubeCA签名的客户端证书和密钥,以进行快速身份验证设置。 用法 minikube-client -cn myuser -o mygroup 请注意, -o接受多个组的逗号分隔字符串(例如a,b )。 您的kubeconfig将使用嵌入式客户端证书和密钥进行更新: apiVersion : v1 kind : Config # other fields... users : # other users... - name : myuser user : client-certificate-data : ... client-key-data : ... 现在运行kubectl : kubectl --user myuser ... 高级用法 您可以按照类似于kubectl规则来kubectl 。按照优先顺序,这些是: -kubeco
k8setcd查询和备份
weixin_42562106的博客
05-14 475
获取etcd证书密钥路径 kubectl describe pods -n kube-system etcd-calico115 Command: etcd --cert-file=/etc/kubernetes/pki/etcd/server.crt 对应 --cert= --key-file=/etc/kubernetes/pki/etcd/server.key 对应 --key= --trusted-ca-fi..
K8s-创建CA证书和秘钥.02
Vv的博客
01-02 2175
内容转载自:https://github.com/opsnull/follow-me-install-kubernetes-cluster/blob/master/02.%E5%88%9B%E5%BB%BACA%E8%AF%81%E4%B9%A6%E5%92%8C%E7%A7%98%E9%92%A5.md 上一篇:K8s-系统初始化.01 为确保安全,kubernetes 系统各组件需要使用 ...
ETCD 安全证书
专注基础架构领域
08-21 2686
一、证书类型介绍 client certificate 用于通过服务器验证客户端。例如etcdctl,etcd proxy,fleetctl或docker客户端。 server certificate 由服务器使用,并由客户端验证服务器身份。例如docker服务器或kube-apiserver。 peer certificate 由 etcd 集群成员使用,供它们彼此之间通信使用。 二、证书生成 1、cfssl 安装 下载 cfssl,命令如下: [root@localhost etcd]#
CA证书ETCD集群_根据证书查看etcd集群信息
最新发布
2301_79098963的博客
06-20 351
mkdir k8scd k8setcd-cert.sh 是证书制作的脚本etcd.sh etcd启动脚本cat > ca-config.json
calico 3.10.2安装(使用加密ectd集群)
武小白的博客
04-26 576
wget https://github.com/projectcalico/calico/releases/download/v3.10.2/release-v3.10.2.tgz tar xf release-v3.10.2.tgz cd release-v3.10.2/k8s-manifests sed -i 's?http://<ETCD_IP>:<ETCD_PORT>?https://192.168.0.62:2379,https://192.168.0.63:2...
CC00052.CloudKubernetes——|KuberNetes&二进制部署.V05|3台Server|——|证书生成|
yanqi_vip
03-29 409
一、生成证书: ### --- Master01下载生成证书工具(下载不成功可以去百度网盘)及创建资源目录 ~~~ etcdkubernetes证书生成 ~~~ 二进制安装最关键步骤,一步错误全盘皆输,一定要注意每个步骤都要是正确的 ### ---下载证书生成工具 [root@k8s-master01 ~]# wget "https://pkg...
etcd入门详解
热门推荐
weixin_39540280的博客
12-18 3万+
1. etcd简介 简介 Etcd是CoreOS基于Raft协议开发的分布式key-value存储,可用于服务发现、共享配置以及一致性保障(如数据库选主、分布式锁等)。 在分布式系统中,如何管理节点间的状态一直是一个难题,etcd像是专门为集群环境的服务发现和注册而涉及,它提供了数据TTL失效、数据改变监视、多值、目录监听、分布式锁原子操作等功能,可以方便的跟踪并管理集群节点的状态。 特点 简单:curl可访问的用户的API(HTT...
K8S二进制部署:配置kubelet与kube-proxy
"本文档主要介绍如何在Kubernetes(K8S)环境中,通过二进制方式安装node节点上的关键组件——kubelet和kube-proxy。这个过程涉及到节点的配置,包括TLS bootstrapping、服务配置文件的创建以及对系统角色和组的授权。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值