【实战加详解】二进制部署k8s高可用集群教程系列十六 - 部署kubelet-TLS Bootstrap证书方式

最新推荐文章于 2024-06-11 15:29:22 发布
最新推荐文章于 2024-06-11 15:29:22 发布
阅读量744 收藏
点赞数
分类专栏: 实战k8s ssl 证书详解 实战二进制部署k8s高可用集群 文章标签: k8s ssl 证书详解加实战 实战二进制部署k8s高可用集群
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjy86868/article/details/127296268
版权

[!TIP]
二进制部署 k8s - 部署 kubelet

TLS Bootstrap 引导证书方式

转载请注明出处:https://janrs.com

部署 kubelet

1.TLS Bootstrap 引导证书方式

[!NOTE]
需要搞明白的是:TLS Bootstrap 是用来自动管理 kube-apiserverkubelet 颁发的客户端 client 证书的。


前面两个手动颁发证书方式以及自动颁发证书方式是用来颁发 kubeletserver 证书的。




这里的区别也是绝大部分新手被绕晕的地方之一。

官方文档地址:


(https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/bootstrap-tokens/)


(https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/kubelet-tls-bootstrapping/)


(https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/authentication/#static-token-file)




在前面的手动颁发证书教程中提到的,kubelet 是通过 kubeconfig 文件访问 kube-apiserver 服务的。


需要为每个节点创建 system:node:<nodeName> 的节点用户,并且需要手动设置 kubeconfig


如果节点有几百个或者几千个,并且经常变动,那么管理难度可想而知。k8s 就提供了一个全自动的方式来管理 kubeletclient
证书。


这个方式就是 TLS Bootstrap 引导证书方式。具体的工作流程直接查看上面的官方说明。

1-1.停止所有服务

停止 master 上的三大组件的服务以及 node 节点上的 kubelet 以及 kube-proxy 服务




停止 master 三大组件的服务

systemctl stop kube-apiserver && \
systemctl stop kube-controller-manager && \
systemctl stop kube-scheduler

停止 node 节点上的 kubelet 以及 kube-proxy 服务

systemctl stop kubelet && \
systemctl stop kube-proxy

1-2.删除 kubelet.kubeconfig

删除 kubelet 节点上的 kubelet.kubeconfig。使用 TLS Bootstrap 机制会创建新的。并且跟原来的不一样。


如果不删除,检测到存在,会直接使用而不创建。从而导致鉴权失败,访问不了 kube-apiserver

rm -rvf /etc/kubernetes/kubeconfig/kubelet.kubeconfig

1-3.创建 auth-token.csv

[!NOTE]
初次连接 kube-apiserver 需要提供简单的身份认证。


身份认证方式有很多种,这里使用静态令牌认证文件。即:auth-token


格式为:token,user,uid,"group1,group2,group3"。多个 group 要加双引号,单个不能加。




该文件在哪里创建都可以,只要随机码至少是 128 位,文件格式为 csv


并且保证 masternodetoken 一致就行。

大多数 linux 都能提供生成 token 的方式

head -c 16 /dev/urandom | od -An -t x | tr -d ' '

显示

dafe33bc8fcdae7f9f16df53a95199fa

创建 auth-token.csv


复制上面生成的随机码

cat > /etc/kubernetes/config/auth-token.csv <<EOF
dafe33bc8fcdae7f9f16df53a95199fa,kubelet-bootstrap,10001,system:bootstrappers
EOF

分发到 master 节点


在哪里创建都可以。只要保证两边的认证数据都一样就行。

scp /etc/kubernetes/config/auth-token.csv root@172.16.222.121:/etc/kubernetes/config/ && \

scp /etc/kubernetes/config/auth-token.csv root@172.16.222.122:/etc/kubernetes/config/ && \

scp /etc/kubernetes/config/auth-token.csv root@1
最低0.47元/天 解锁文章
YangJianYong_Geek
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CC00069.CloudKubernetes——|KuberNetes&二进制部署.V22|3台Server|——|TLS_Bootstrapping|自动颁发证书|
yanqi_vip
03-29 226
一、TLS Bootstrapping自动生成证书流程 ### --- TLS Bootstrapping初始化流程:TLS初始化流程 ~~~ # Kubelet启动 ~~~ # Kubelet查看kubelet.kubeconfig文件,假设没有这个文件 ~~~ # Kubelet会查看本地的bootstrap.kubeconfig ~~~ ...
kubernetes集群安装指南:创建CA证书及相关组件证书密钥
bjdmy2068的博客
07-01 865
在实际kubernetes应用场景中,集群内组件之间访问都是通过TLS双向认证安全访问,即https访问,所以在部署时,给kubernetes各个组件创建证书是必要的,这是因为没有https安全访问会导致集群间节点通信访问不安全,非法用户可以通过客户端操作,对集群资源非法操作,引起集群服务异常,甚至集群宕机。例如:非法操作etcd存储的数据,因此集群开启https访问双向认证是必要的。 1 准备工...
kubelet 客户端证书轮转失败certificate has expired or is not yet valid
任我行的博客
04-02 265
默认情况下,kubeadm 使用 /etc/kubernetes/kubelet.conf 中指定的 /var/lib/kubelet/pki/kubelet-client-current.pem 符号链接来配置具有自动轮换客户端证书的 kubelet。如果此轮换过程失败,您可能会在 kube-apiserver 日志中看到诸如。7. 确认节点已经变成Ready。6 . 重启kubelet。
kubelet证书过期问题处理
最新发布
niuwj666的博客
06-11 469
按照以上方式改好后,重启kubelet会生成新的证书(重启kubelet就会生成新的.crt .key证书),但是.crt .key证书无需理会,目前来看不知道有啥用,即使过期很长时间,也不影响使用。下面这个命令可以看到证书的有效期openssl x509 -in 证书路径/证书名称 -noout -text | grep Not。
kubernetes证书过期问题的解决 (kubernetes v1.11.5 包括node部分)
weixin_34041003的博客
05-27 1176
一、备份证书和配置文件备份证书sudomv/etc/kubernetes/pki/apiserver.key/etc/kubernetes/pki/apiserver.key.oldsudomv/etc/kubernetes/pki/apiserver.crt/etc/kubernetes/pki/apiserver.crt.oldsudomv/etc/ku...
kubectl-view-cert: 一款超实用 Kubernetes SSL 证书管理工具
easylife206的专栏
05-16 484
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !先描述下场景,当一个kubernetes集群中有大量的应用创建了声明tls类型的ingress资源时,维护这个tls的secret工作将变得异常繁琐。特别是当证书即将过期需要替换时,运维不得不挨个检查一遍,整个过程需要非常细致且麻烦,通常它的流程经过下面阶段:遍历namespaces下的secret用base64将私...
二进制文件部署k8s集群的资源和指南(v1.22)
03-06
总之,使用二进制文件部署k8s集群需要对k8s架构有深入理解,但这种方式提供了度的灵活性和定制性。无论你是初学者还是经验丰富的管理员,这份v1.22的部署指南都将帮助你构建稳定、效的k8s集群。在实际操作中,...
k8s 可用集群
05-03
k8s 可用集群安装指南 k8s 可用集群是一个基于 Kubernetes 的可用性集群解决方案,旨在提供可用效、可扩展的容器编排服务。本文将详细介绍 k8s 可用集群的安装步骤,旨在帮助读者快速搭建可用 k8s ...
K8S集群ssl证书监控ssl-exporter资源清单文件及镜像文件
01-14
在Kubernetes(K8S)集群环境中,安全套接字层(SSL)证书的监控是确保服务安全和稳定的重要环节。SSL证书用于密网络通信,确保数据传输的安全性。`ssl-exporter`是一款专为监控SSL/TLS证书状态设计的Prometheus ...
kubelet-serving-cert-approver:Kubelet服务TLS证书签名请求批准者
04-01
Kubelet服务证书批准者是一个自定义批准控制器,用于批准kubernetes.io/kubelet-serving证书签名请求,kubelet用于服务TLS端点。 为什么要使用Kubelet服务证书批准者? 您想要安全地-根据受信任的证书颁发机构(CA...
iOS 开发 证书显示 此证书签发者无效 解决办法
追梦
02-19 716
1、下载证书地址https://developer.apple.com/certificationauthority/AppleWWDRCA.cer 下载之后 双击安装 2、打开自己的Keychain(钥匙串访问),删除原来已经过期的WWDR证书
实战详解二进制部署k8s可用集群教程系列二 - ssl 证书简介
JohnYang's CSDN Home
10-12 985
实战详解 - 完美解决二进制部署k8s可用集群中ssl证书以及TLS Bootstrap机制的问题
k8s常用操作命令
weixin_30642561的博客
01-23 778
K8s常用命令操作 一、kubectl命令补全 1、master安装命令补全,并临时生效 yum install -y bash-completion source /usr/share/bash-completion/bash_completion 2、永久生效 source <(kubectl completion bash) echo "...
实战详解二进制部署k8s可用集群教程系列十五 - 部署kubelet-自签名证书方式
JohnYang's CSDN Home
10-13 225
实战详解 - 完美解决二进制部署k8s可用集群中ssl证书以及TLS Bootstrap机制的问题
kubernetes环境清除
GENTLECHAN的博客
08-04 1035
CSDN收藏k8s安装 1.先修改hosts文件 做ssh免密 2.执行ansible-playbook preposition.yml 3.上传镜像到Harbor 4.所有节点都登陆一下Harbor docker login 10.66.226.77:88 切换到rancher用户,做rancher用户免密 ssh-keygen -t rsa -N ‘’ -f /home/rancher/.ssh/id_rsa -q ssh-copy-id -i /home/rancher/.ssh/id_rsa.pub
【kubernetes/k8s概念】k8s 坑问题汇总
热门推荐
zhonglinzhang
12-26 3万+
1.Pod始终处于Pending状态 如果Pod保持在Pending的状态,意味着无法被正常的调度到节点上。由于某种系统资源无法满足Pod运行的需求 系统没有足够的资源:已经用尽了集群中所有的CPU或内存资源。需要清理一些不在需要的Pod,调整它们所需的资源量,或者向集群中增新的节点。 用户指定了hostPort:通过hostPort用户能够将服务暴露到指定的主机端口上,会限......
kube-controller-manager最佳配置
WaltonWang's Blog
05-23 1万+
kube-controller-manager最佳配置梳理
k8s踩坑(三)、kubeadm证书/etcd证书过期处理
ywq935的博客
03-08 2万+
故障现象 使用kubeadm部署的集群,在运行了一年之后今天,出现k8s api无法调取的现象,使用kubectl命令获取资源均返回如下报错: Unable to connect to the server: x509: certificate has expired or is not yet valid 故障排查 查看apiserver.crt证书的签署日期和过期日期: root@9027:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值