【实战加详解】二进制部署k8s高可用集群教程系列十五 - 部署kubelet-自签名证书方式

最新推荐文章于 2022-10-28 13:07:10 发布
最新推荐文章于 2022-10-28 13:07:10 发布
阅读量239 收藏
点赞数
分类专栏: 实战k8s ssl 证书详解 实战二进制部署k8s高可用集群 文章标签: k8s ssl 证书详解加实战 实战二进制部署k8s高可用集群
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjy86868/article/details/127296206
版权

[!TIP]
二进制部署 k8s - 部署 kubelet

自签名 server 证书方式

转载请注明出处:https://janrs.com

部署 kubelet

自签名 server 证书方式

自签名其实就是手动颁发证书的自动化。自签名颁发证书也是由 kubeletca 机构颁发的。


/etc/kubernetes/config/kubelet.yaml 配置文件中,不需要指定以下参数:


将其注释掉即可

#tlsCertFile: "/etc/kubernetes/pki/kubelet/kubelet-server.pem"
#tlsPrivateKeyFile: "/etc/kubernetes/pki/kubelet/kubelet-server-key.pem"

kubelet 启动后会自动生成服务端证书存放在参数 --cert-dir 指定的文件夹位置。




同样的,由于服务端证书是自动生成的,kube-apiserver

最低0.47元/天 解锁文章
YangJianYong_Geek
关注
专栏目录
K8s-集群的设置-kubelet证书自动签发
weixin_45081220的博客
05-26 237
不同于etcd证书。有效期很久,kubelet 有效期只有一年 [root@vms51 pki]# kubeadm certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -o yam
kubelet自签证书
process的博客
12-30 3851
观察到kubelet的服务端证书过期了,但是集群还是正常的,就想看下kubelet的服务端证书时干什么用的。  所在的位置: [root@zyx-dev-k8s-node-cpu-220-0122 pki]# ls -la /var/lib/kubelet/pki/ total 12 drwxr-xr-x 2 root root 124 Apr 1 2020 . drw
k8skubelet 配置证书轮换自签
weixin_42562106的博客
08-17 1080
kubernetes1.7之后,可以采用集群自动签发证书方案,但仍然需要手动重启kubelet, 在1.8之后,就可以自动签发自动renew证书;也可以设置更长的有效期。 方法1 . 查看证书有效期 root@node101 ~]# kubeadm certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look..
kubelet-serving-cert-approver:Kubelet服务TLS证书签名请求批准者
04-01
Kubelet服务证书批准者 Kubelet服务证书批准者是一个自定义批准控制器,用于批准kubernetes.io/kubelet-serving证书签名请求,kubelet用于服务TLS端点。 为什么要使用Kubelet服务证书批准者? 您想要安全地-根据受信任的证书颁发机构(CA)-到达kubelet端点 API服务器将已签名的服务证书视为有效的kubelet服务证书。 在安装期间不想使用--kubelet-insecure-tls标志 我需要商业证明吗? 否。每个Kubernetes群集都有一个群集根证书颁发机构(CA)。 如何使用Kubelet服务证书批准者? 要安装到您的Kubernetes集群中,请导航到目录。 注意:您的Kubernetes集群必须配置为启用了TLS引导,并提供了turn rotate-server-certificates: true kube
kubernetes1.19二进制搭建-3-自签证书
清风的博客
02-23 421
下载cfssl curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/bin/cfssl curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /usr/bin/cfssljson curl -L https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o /usr/bin/cfssl-certinfo #赋予执行权限 c
实战详解二进制部署k8s高可用集群教程系列十一 - 部署kubelet手动证书方式
JohnYang's CSDN Home
10-13 682
实战详解 - 完美解决二进制部署k8s高可用集群ssl证书以及TLS Bootstrap机制的问题
实战详解二进制部署k8s高可用集群教程系列十六 - 部署kubelet-TLS Bootstrap证书方式
JohnYang's CSDN Home
10-13 780
实战详解 - 完美解决二进制部署k8s高可用集群ssl证书以及TLS Bootstrap机制的问题
实战详解二进制部署k8s高可用集群教程系列十 - 部署高可用
JohnYang's CSDN Home
10-12 954
实战详解 - 完美解决二进制部署k8s高可用集群ssl证书以及TLS Bootstrap机制的问题
实战详解二进制部署k8s高可用集群教程系列十三 - 部署calico
JohnYang's CSDN Home
10-13 590
实战详解 - 完美解决二进制部署k8s高可用集群ssl证书以及TLS Bootstrap机制的问题
kubernetes(K8S)创建自签TLS证书
aiduo4911的博客
09-09 1272
TLS证书用于进行通信使用,组件需要证书关系如下: 组件 需要使用的证书 etcd ca.pem server.pem server-key.pem flannel ca.pem server.pem server-key.pem kube-apiserver ca.pem server.pem server-key.pem kubelet ca.pem c...
启用已签名kubelet 服务证书
最新发布
Vic的博客
10-28 632
只有完成彻底的检查,才有可能避免有恶意的、能够访问 kubelet 客户端证书的第三方 为任何 IP 或域名请求服务证书。如果你在寻找一种能够自动批准这些 CSR 的解决方案,建议你与你的云提供商 联系,询问他们是否有 CSR 签名组件,用来以带外(out-of-band)的方式检查 节点的标识符。这意味着证书快要过期时,会生成一组针对服务证书的新的 CSR,而 这些 CSR 也要被批准才能完成证书轮换。要在新的 kubeadm 集群中配置 kubelet 以使用被正确签名的服务证书, 你必须向。
k8s环境生成自签名证书配置secret tls并配置到浏览器
lucky_ykcul的博客
08-23 2343
最近公司的网站偶尔会出现“network error”的报错导致网页不稳定,打开开发者工具发现报错为“Failed to load resource: net ::ERR_CERT_AUTHORITY_INVALIED”原因为网页存在认证问题。解决措施有三种:1.申请域名购买证书;2.自己生成自签名证书;3.将https访问方式改为http。综合考虑成本和安全因素后决定使用自签名证书来解决此问题。
Kubernetes Kubeadm Kubelet 证书自动续签
小楼一夜听春雨,深巷明朝卖杏花
02-25 4611
Kubelet 证书自动续签 K8s证书一般分为两套:K8s组件(apiserver)和Etcd 假如按角色来分,证书分为管理节点和工作节点。 • 管理节点:如果是kubeadm部署自动生成,如果是二进制部署一般由cfssl或者openssl生成。 • 工作节点:工作节点主要是指kubelet连接apiserver所需的客户端证书,这个证书由controller-manager组件自动颁发,默认是一年,如果到期,kubelet将无法使用过期的证书连接apiserver,从而导致无法正常工作,日志会
k8s自签证书
qq_42502583的博客
03-29 2493
k8s自签证书 通过使用cert-manager来管理证书 cert-manager将确保证书有效并且是最新的,并在到期前尝试在配置的时间续订证书 part1.安装CustomResourceDefinitions和cert-manager本身: ╭─[18:04:19] yup@YP-7-15 ~ ╰─$ kubectl apply -f https://github.com/jetstack/cert-manager/releases/download/v1.2.0/cert-manager.yaml
kubernets TLS引导配置证书以及证书自动轮换
小人物也有大梦想
10-23 1203
Kubernetes集群中,工作程序节点上的组件-kubeletkube-proxy-需要与Kubernetes主组件(特别是kube-apiserver)进行通信。为了确保通信保持私密,不受干扰,并确保群集的每个组件都在与另一个受信任的组件通信,我们强烈建议在节点上使用客户端TLS证书。 自举这些组件的正常过程,特别是需要证书的工作节点,以便它们可以与kube-apiserver安全通信,这是一个具有挑战性的过程,因为它通常不在Kubernetes的范围内,并且需要大量的额外工作。反过来,这可能使初始
Metrics Server安装以及报错解决
热门推荐
liuyanwuyu的博客
08-19 2万+
在查看kubernetes的测试环境中,使用top命令查看Pod的CPU、内存使用过程中,遇到以下问题: $ kubectl top po W0818 03:22:46.090578 26207 top_pod.go:140] Using json format to get metrics.e-protocol-buffers flag error: Metrics API not available 如上看到ERROR信息“Metrics API not available”,这是由于该Kue..
部署Node节点 配置kubelet证书自动申请 CSR、审核及自动续期
码农崛起
02-09 4802
apiserver 预先放置 token.csv,内容样例如下,master节点的token格式 id,用户名,编号,组 [root@localhost cfg]# cat token.csv d3f6263fa65e375967541947834b3988,kubelet-bootstrap,10001,"system:kubelet-bootstrapper" 允许 kubelet-bootstrap 用户创建首次启动的 CSR 请求 和RBAC授权规则 kubectl create ...
K8S各种各样的证书介绍
Vic的博客
10-28 3191
例如,所有etcd server证书需要是同一个CA签署的,所有的etcd peer证书也需要是同一个CA签署的,而一个etcd server证书和一个etcd peer证书,完全可以是两个CA机构签署的,彼此没有任何关系。其实实际上,使用一套证书(都使用一套CA来签署)一样可以搭建出K8S,一样可以上生产,但是理清这些证书的关系,在遇到因为证书错误,请求被拒绝的现象的时候,不至于无从下手,而且如果没有搞清证书之间的关系,在维护或者解决问题的时候,贸然更换了证书,弄不好会把整个系统搞瘫。
手动部署K8s高可用集群二进制方法详解
本文档主要讲解如何通过二进制方式部署一个基于v1.20版本的K8s高可用集群,这种方式虽然比使用kubeadm工具更为复杂,但它能让你更深入地理解K8s的工作原理,并且有利于后续的维护。 ### 1. 部署方式选择 在生产...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值