CC00067.CloudKubernetes——|KuberNetes&二进制部署.V20|3台Server|——|TLS_BootStrapping|证书生成流程|

已于 2022-04-02 15:19:09 修改
阅读量117 收藏
点赞数
分类专栏: cloudv017——kubernetes.v002 文章标签: java kubernetes hadoop docker python
于 2022-03-29 13:37:00 首次发布
不予转载
本文链接:https://blog.csdn.net/yanqi_vip/article/details/123875053
版权
一、TLS Bootstrapping证书详解 
### --- 证书详解

~~~     此环境中ControllerManager/Scheduler组件是手动颁发的证书。
~~~     TLS Bootstrapping:是为node节点自动的生成 和管理证书的。
~~~     Node节点为什么不去手动的生成证书和管理证书:因为node节点动态性比较强,
~~~     不像master节点下的ControllerManager/Scheduler这类组件部署之后就不会动。
~~~     而Keepalived的主机名和node节点的主机名是有绑定的,
~~~     所以说当手动管理证书的情况下,集群规模很大的时候,管理起来就比较麻烦。
~~~     controller-manager安装的时候为每个k8s的组件都生成了一个controller-manager.kubeconfig文件;
~~~     这个文件保存了apiserver的信息及去连接apiserver是所需要的证书。
### --- 查看apiserver保存的证书信息

[root@k8s-master01 ~]# cat /usr/lib/systemd/system/kube-controller-manager.service 
        --kubeconfig=/etc/kubernetes/controller-manager.kubeconfig \                //在这个文件指定了controller-manager.kubeconfig
[root@k8s-master01 ~]# ls /etc/kubernetes/controller-manager.kubeconfig 
/etc/kubernetes/controller-manager.kubeconfig
### --- 这个组件在启动的时候会拿着这个文件达到认证的作用,通讯是加密的。
~~~     查看kubelet.kubeconfig

[root@k8s-master01 ~]# ls /etc/kubernetes/kubelet.kubeconfig 
/etc/kubernetes/kubelet.kubeconfig
### --- kubelet也有自己的证书。

~~~     kubelet不建议手动去颁发管理证书。所以引入了TLS Bootstrapping;
~~~     它会为kubelet自动的去颁发一个kubelet.kubeconfig证书。
二、TLS BootStrapping证书生成流程 
### --- TLS证书生成原理

~~~     在配置一个Node节点的时候,Node节点上是没有这个文件的。
~~~     # 生成原理:通过bootstrap-kubelet.kubeconfig该文件和ApiServer进行交互然后自动的去申请一个kubelet.kubeconfig 文件
~~~     若是Node节点再启动的时候,没有kubelet.kubeconfig这个文件,
~~~     它会拿这个bootstrap-kubelet.kubeconfig文件也就是BootStrapping认证的kubeconfig
~~~     去申请一个kubelet.kubeconfig,然后在去启动它的进程。
三、TLS证书生成流程 
### --- 查看kubernetes证书文件并删除原有的kubelet.kubeconfig配置文件
~~~     # 查看kubernetes证书文件

[root@k8s-node02 ~]# ls /etc/kubernetes/
bootstrap-kubelet.kubeconfig
kubelet.kubeconfig
~~~     # 删除原有的 kubelet.kubeconfig文件

[root@k8s-node02 ~]# rm -rf /etc/kubernetes/kubelet.kubeconfig
### --- 查看kubelet.conf的配置
~~~     # 查看配置文件 

[root@k8s-node02 ~]# cat /etc/systemd/system/kubelet.service.d/10-kubelet.conf 
[Service]
Environment="KUBELET_KUBECONFIG_ARGS=--bootstrap-kubeconfig=/etc/kubernetes/bootstrap-kubelet.kubeconfig --kubeconfig=/etc/kubernetes/kubelet.kubeconfig"
~~~     注:解释说明
    --bootstrap-kubeconfig=/etc/kubernetes/bootstrap-kubelet.kubeconfig // 指定的kubeconfig文件
    --kubeconfig=/etc/kubernetes/kubelet.kubeconfig"                    // 生成的文件
### --- 重启kubelet并生成证书文件
~~~     # 重启kubelet         

[root@k8s-node02 ~]# systemctl restart kubelet
~~~     # 查看生成的kubeconfig证书文件,生成完之后就会和ApiServer进行交互

[root@k8s-node02 ~]# ll /etc/kubernetes/kubelet.kubeconfig 
-rw------- 1 root root 2369 Apr 11 18:46 /etc/kubernetes/kubelet.kubeconfig
yanqi_vip
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CC00069.CloudKubernetes——|KuberNetes&二进制部署.V22|3Server|——|TLS_Bootstrapping|自动颁发证书|
yanqi_vip
03-29 229
一、TLS Bootstrapping自动生成证书流程 ### --- TLS Bootstrapping初始化流程TLS初始化流程 ~~~ # Kubelet启动 ~~~ # Kubelet查看kubelet.kubeconfig文件,假设没有这个文件 ~~~ # Kubelet会查看本地的bootstrap.kubeconfig ~~~ ...
Kubernetes TLS bootstrapping
看,未来的博客
06-11 724
众所周知 TLS 的作用就是对通讯加密,防止中间人窃听;同时如果证书不信任的话根本就无法与 apiserver建立连接,更不用提有没有权限向 apiserver 请求指定内容。在开启了 TLS 的集群中,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式。当集群开启了 TLS 认证后,每个节点的 kubelet 组件都要使用由 apiserver 使用的...
[译]TLS bootstrapping
Kason_iWiki
09-12 200
TLS BootStrapping 官方文档:https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet-tls-bootstrapping/#initialization-process 在Kubernetes集群中,Node节点kubelet和kube-proxy上的组件需要与Kubernetes控制平面组件进行通信,特别是kube-apiserver。为了确保通信是私有的,不受干扰,并确保集群的每个组件都与另一个受
kubelet TLS
weixin_33754065的博客
10-03 547
一、TLS bootstrapping 简介 Kubernetes 在 1.4 版本(我记着是)推出了 TLS bootstrapping 功能;这个功能主要解决了以下问题: 当集群开启了 TLS 认证后,每个节点的 kubelet 组件都要使用由 apiserver 使用的 CA 签发的有效证书才能与 apiserver 通讯;此时如果节点多起来,为...
完整kubernetes v1.20.x二进制部署
04-29
### 完整kubernetes v1.20.x二进制部署 #### 一、前置知识点 ##### 1.1 生产环境可部署Kubernetes集群的两种方式 在生产环境中部署Kubernetes集群通常有两种主要的方式: - **kubeadm**:这是一种由Kubernetes...
Kubernetes1.6集群部署完全指南——二进制文件部署开启TLS基于CentOS7
10-24
### Kubernetes 1.6 集群部署完全指南:二进制文件部署开启 TLS 基于 CentOS 7 #### 概述 本指南旨在详细介绍如何在 CentOS 7 系统上通过二进制文件部署的方式搭建一个启用 TLSKubernetes 1.6 集群。TLS...
MulticsKubernetes:Kubernetes实战(二进制部署,项目,架构&二进制分析)-项目
03-24
Kubernetes二进制部署和插件配置 官方实例,社区实例和自己开发部署实例 Kubernetes架构与原始码剖析 Kubernetes几乎所有的安装组件和Docker完全都放在goolge自己的网站上,这对国内的同学可能是个不小的障碍。建议...
Python库 | cdktf_cdktf_provider_tls-0.2.27-py3-none-any.whl
02-15
这个名为"cdktf_cdktf_provider_tls-0.2.27-py3-none-any.whl"的压缩包,是一个针对Python 3的二进制安装包,用于简化云基础设施的声明式配置。 首先,我们要理解什么是cdktf。CDK for Terraform(简称cdktf)是...
Python库 | python_mbedtls-1.4.1-cp39-cp39-manylinux1_x86_64.whl
03-23
Wheel是Python社区为了简化软件分发和安装而提出的一种二进制格式。与传统的源码包(.tar.gz或.zip)相比,.whl文件可以直接安装,无需编译,极大地提高了安装速度和便利性。特别是对于包含C扩展的库,如`python_...
kubernetes容器集群管理(3)-Kubeconfig 部署TLS Bootstrapping
一别两宽丶各生欢喜
02-29 1217
1、TLS Bootstrapping一些理解 如果对 TLS Bootstrapping 完全没接触过推荐: https://blog.csdn.net/paopaohll/article/details/89022920 众所周知 TLS 的作用就是对通讯加密,防止中间人窃听;同时如果证书不信任的话根本就无法与 apiserver建立连接,更不用提有没有权限向 apiserver 请求指定...
Kubernetes证书篇:使用TLS bootstrapping简化kubelet证书制作》
东城绝神
05-12 2244
Kubernetes证书篇:使用TLS bootstrapping简化kubelet证书制作》
kubernetes二进宫系列——Kubernetes TLS BootStrapping流程引导分析
一别两宽丶各生欢喜
03-04 885
目录 Kubernetes TLS bootstrapping流程引导分析 一、TLS bootstrapping 简介 二、TLS bootstrapping 相关术语 2.1、kubelet server 2.2、CSR请求类型 2.3、KubernetesTLS与RBAC认证 2.4、证书及配置文件作用 三、kubelet初始化流程 四、TLS bootstrapping引导程序初始化流程 Kubernetes TLS bootstrapping流程引导分析 该文章...
CC00057.CloudKubernetes——|KuberNetes&二进制部署.V10|3Server|——|kube-master|bootstrap_secret|
yanqi_vip
03-29 224
一、TLS BootStrapping配置 ### --- 创建bootstrap:在k8s-master01创建bootstrap ~~~ # 注意,如果不是高可用集群, ~~~ 192.168.1.11:8443改为master01的地址,8443改为apiserver的端口,默认是6443 ### --- 在k8s-master01创建boo...
bootstrapping 自举
mint_ying的博客
06-02 2499
bootstrapping 自举
【实战加详解】二进制部署k8s高可用集群教程系列十六 - 部署kubelet-TLS Bootstrap证书方式
JohnYang's CSDN Home
10-13 750
实战加详解 - 完美解决二进制部署k8s高可用集群中ssl证书以及TLS Bootstrap机制的问题
EAP-TLS实验之Ubuntu20.04环境搭建配置(FreeRADIUS3.0)(四)
最新发布
DIANZI520SUA的专栏
02-28 1608
该篇主要介绍了利用配置ca.cnf、server.cnf、client.cnf在certs路径下生成证书文件(非执行bootstrap脚本,网上也有很多直接通过openssl命令方式生成的文章),主要参考(概括中心思想)官方手册,以及本地证书的认证(参考》)。(对于该手册,有点不严谨,里面多处笔误,主要体现在生成服务器证书和客户端证书时提到的配置文件上,具体地方由诸位私下去发现,也有点遗漏,链接上前面有提到EAP-TLS的例子,但是文档最后都未提到。
kubernets资源控制---Metrics-server监控&&Dashboard可视化
qq_49286390的博客
03-28 307
一、kubernetes资源监控 Metrics-server部署: wget https://github.com/kubernetes-sigs/metrics-server/releases/latest/download/components.yaml [root@server12 metric]# kubectl -n kube-system get pod ##运行但是没有准备好 [root@server12 metric]# kubectl -n kube-system get sv
服务端 ServerBootstrap
qq_44587855的博客
12-27 4899
Bootstrap 意思是引导,一个 Netty 应用通常由一个 Bootstrap 开始,主要作用是配置整个 Netty 程序,串联各个组件,Netty 中 Bootstrap 类是客户端程序的启动引导类,ServerBootstrap 是服务端启动引导类。 ............
System.Net.ServicePointManager.SecurityProtocol = System.Net.SecurityProtocolType.Tls12 | System.Net.SecurityProtocolType.Tls11 | System.Net.SecurityProtocolType.Tls; 是什么意思
06-15
该代码指定了使用 TLS 1.2、TLS 1.1 和 TLS 1.0 这三种安全协议中的任意一种来与服务器进行通信。TLS(Transport Layer Security)是一种安全协议,用于保护网络通信的安全性。在此代码中,我们指定了使用 TLS 的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yanqi_vip

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值