kubeadm证书生成示例

最新推荐文章于 2022-11-03 20:30:00 发布
最新推荐文章于 2022-11-03 20:30:00 发布
阅读量1.5k 收藏
点赞数 1
分类专栏: K8S 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhengide/article/details/104379461
版权

创建openssl配置文件

其中ansible部分变量替换成master节点的IP和name,以及kubernetes svc的VIP。

[ req ]
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_ca ]
basicConstraints = critical, CA:TRUE
keyUsage = critical, digitalSignature, keyEncipherment, keyCertSign
[ v3_req_server ]
basicConstraints = CA:FALSE
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names_cluster
[ v3_req_client ]
basicConstraints = CA:FALSE
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth
[ v3_req_peer ]
basicConstraints = CA:FALSE
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = @alt_names_cluster
[ alt_names_cluster ]
DNS.1 = kubernetes
DNS.2 = kubernetes.default
DNS.3 = kubernetes.default.svc
DNS.4 = kubernetes.default.svc.cluster.local
DNS.5 = localhost
{% for host in groups['kube-master'] %}
DNS.{{ 5 + loop.index }} = {{ host }}
{% endfor %}
{% for host in groups['kube-master'] %}
IP.{{ loop.index }} = {% if k8s_interface is defined %}{{ hostvars[host]['ansible_'+k8s_interface].ipv4.address }}{% else %}{{ hostvars[host]['ip'] | default(hostvars[host]['ansible_default_ipv4']['address']) }}{% endif %} 
{% endfor %}
{% set idx =  groups['kube-master'] | length | int * 1 + 1 %}
IP.{{ idx }} = {{ kube_apiserver_ip }} 
IP.{{ idx + 1 }} = 127.0.0.1

生成证书

# 创建ca私钥
openssl genrsa -out ca.key 2048
# 创建 kubernetes-ca 根证书
openssl req -x509 -new -nodes \
      -days 3650 \
      -key ca.key \
      -config kube-openssl.cnf \
      -subj "/CN=kubernetes" \
      -extensions v3_ca \
      -out ca.crt

# 创建 kube-apiserver 证书私钥
openssl genrsa -out apiserver.key 2048

openssl req -new -key apiserver.key -subj "/CN=kube-apiserver" -out apiserver.csr

openssl x509 -req -CA ca.crt -CAkey ca.key -days 3650 -in apiserver.csr -CAcreateserial -extensions v3_req_server -extfile kube-openssl.cnf -out apiserver.crt

#创建 apiserver-kubelet-client 证书私钥
openssl genrsa -out apiserver-kubelet-client.key 2048

openssl req -new -key apiserver-kubelet-client.key -subj "/CN=kube-apiserver-kubelet-client/O=system:masters" -out apiserver-kubelet-client.csr

openssl x509 -req \
    -CA ca.crt \
    -CAkey ca.key \
    -days 3650 \
    -in apiserver-kubelet-client.csr\
    -CAcreateserial \
    -extensions v3_req_client \
    -extfile kube-openssl.cnf \
    -out apiserver-kubelet-client.crt


# 创建 sa 证书私钥
openssl genrsa -out sa.key 2048
# 根据 sa 私钥创建公钥
penssl rsa -in sa.key -pubout -out sa.pub

# 创建 kube-controller-manager 证书请求
openssl req -new -key sa.key \
      -subj "/CN=system:kube-controller-manager" \
      -out kube-controller-manager.csr

# 创建 kube-controller-manager 证书
openssl x509 -req -CA ca.crt -CAkey ca.key \
      -days 3650 \
      -in kube-controller-manager.csr \
      -CAcreateserial \
      -extensions v3_req_client \
      -extfile kube-openssl.cnf \
      -out kube-controller-manager.crt
# 创建 kube-scheduler 证书私钥
openssl genrsa -out kube-scheduler.key 2048
# 创建 kube-scheduler 证书请求
openssl req -new -key kube-scheduler.key \
      -subj "/CN=system:kube-scheduler" \
      -out kube-scheduler.csr

# 创建 kube-scheduler 证书
openssl x509 -req -CA ca.crt -CAkey ca.key \
      -days 3650 \
      -in kube-scheduler.csr \
      -CAcreateserial \
      -extensions v3_req_client \
      -extfile kube-openssl.cnf \
      -out kube-scheduler.crt

# 创建 front-proxy-ca 证书私钥
openssl genrsa -out front-proxy-ca.key 2048

# 创建 front-proxy-ca 根证书
openssl req -x509 -new -nodes \
      -days 3650 \
      -key front-proxy-ca.key \
      -config kube-openssl.cnf \
      -subj "/CN=front-proxy-ca" \
      -extensions v3_ca \
      -out front-proxy-ca.crt

# 创建 front-proxy-client 证书私钥
openssl genrsa -out front-proxy-client.key 2048

# 创建 front-proxy-client 证书请求
openssl req -new -key front-proxy-client.key \
      -subj "/CN=front-proxy-client" \
      -out front-proxy-client.csr

# 创建 front-proxy-client 证书
openssl x509 -req \
    -CA front-proxy-ca.crt \
    -CAkey front-proxy-ca.key \
    -days 3650 \
    -in front-proxy-client.csr \
    -CAcreateserial \
    -extensions v3_req_client \
    -extfile kube-openssl.cnf \
    -out front-proxy-client.crt

# 创建 kubernetes cluster admin 证书私钥
openssl genrsa -out admin.key 2048

# 创建 kubernetes cluster admin 证书请求
openssl req -new -key admin.key \
      -subj "/CN=kubernetes-admin/O=system:masters" \
      -out admin.csr

# 创建 kubernetes cluster admin 证书
openssl x509 -req \
    -CA ca.crt \
    -CAkey ca.key \
    -days 3650 \
    -in admin.csr \
    -CAcreateserial \
    -extensions v3_req_client \
    -extfile kube-openssl.cnf \
    -out admin.crt

创建配置文件

server的地址为当前master的API Server的地址,kubelet.conf配置中需修改节点的名称为当前master的节点名称

# 创建admin.conf文件
kubectl config set-cluster kubernetes \
    --certificate-authority=ca.crt \
    --embed-certs=true \
    --server=https://10.7.6.109:6443 \
    --kubeconfig=/etc/kubernetes/admin.conf

kubectl config set-credentials kubernetes-admin \
    --client-certificate=admin.crt \
    --client-key=admin.key \
    --embed-certs=true \
    --kubeconfig=/etc/kubernetes/admin.conf

kubectl config set-context kubernetes-admin@kubernetes \
    --cluster=kubernetes \
    --user=kubernetes-admin \
    --kubeconfig=/etc/kubernetes/admin.conf

kubectl config use-context \
    kubernetes-admin@kubernetes \
    --kubeconfig=/etc/kubernetes/admin.conf

# 创建controller-manager.conf文件
kubectl config set-cluster kubernetes \
    --certificate-authority=ca.crt \
    --embed-certs=true \
    --server=https://10.7.6.109:6443 \
    --kubeconfig=/etc/kubernetes/controller-manager.conf

kubectl config set-credentials system:kube-controller-manager \
    --client-certificate=kube-controller-manager.crt \
    --client-key=sa.key \
    --embed-certs=true \
    --kubeconfig=/etc/kubernetes/controller-manager.conf

kubectl config set-context system:kube-controller-manager@kubernetes \
    --cluster=kubernetes \
    --user=system:kube-controller-manager \
    --kubeconfig=/etc/kubernetes/controller-manager.conf

kubectl config use-context system:kube-controller-manager@kubernetes \
    --kubeconfig=/etc/kubernetes/controller-manager.conf

# 创建scheduler.conf文件
kubectl config set-cluster kubernetes \
    --certificate-authority=ca.crt \
    --embed-certs=true \
    --server=https://10.7.6.109:6443 \
    --kubeconfig=/etc/kubernetes/scheduler.conf

kubectl config set-credentials system:kube-scheduler \
    --client-certificate=kube-scheduler.crt \
    --client-key=kube-scheduler.key \
    --embed-certs=true \
    --kubeconfig=/etc/kubernetes/scheduler.conf

kubectl config set-context system:kube-scheduler@kubernetes \
    --cluster=kubernetes \
    --user=system:kube-scheduler \
    --kubeconfig=/etc/kubernetes/scheduler.conf

kubectl config use-context system:kube-scheduler@kubernetes \
    --kubeconfig=/etc/kubernetes/scheduler.conf

# 创建kubelet.conf
kubectl config set-cluster kubernetes \
    --certificate-authority=ca.crt \
    --embed-certs=true \
    --server=https://10.7.6.109:6443 \
    --kubeconfig=/etc/kubernetes/kubelet.conf

kubectl config set-credentials system:node:drzdztvpra19 \
    --client-certificate=apiserver-kubelet-client.crt \
    --client-key=apiserver-kubelet-client.key \
    --embed-certs=true \
    --kubeconfig=/etc/kubernetes/kubelet.conf

kubectl config set-context system:node:drzdztvpra19@kubernetes \
    --cluster=kubernetes --user=system:node:drzdztvpra19 \
    --kubeconfig=/etc/kubernetes/kubelet.conf

kubectl config use-context system:node:drzdztvpra19@kubernetes \
    --kubeconfig=/etc/kubernetes/kubelet.conf

重启生效

# 所有master节点执行
systemctl restart kubelet
systemctl restart docker
十年磨一行
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes系列】kubernetes之使用kubeadm搭建高可用集群
margu_168的博客
07-24 947
版本目前来说,kubernetes集群搭建的方式很多,选择一个稳定的适合自己的很重要。目前使用kubeadm方式搭建k8s集群还是很常见的,使用kubeadm搭建可以很简单差不多两条命令就行,也可以稍微复杂一点做一些基础优化,本文将分享一下使用kubeadm搭建集群并做了一定的优化。
kubeadm更新证书(1.23.4版本)
运维那些事儿
04-14 3411
1、查看证书到期时间 kubeadm certs check-expiration 1.1、输出如下内容 [root@master pki]# kubeadm certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get c
k8s从入门到放弃-第九章安全认证
一起学习吧
05-14 474
文章目录9.1访问控制概述9.2认证管理9.3授权管理9.4准入控制 本章节主要介绍Kubernetes的安全认证机制。 9.1访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。 所谓的安全性其实就是 保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 在Kubernetes集群中,客户端通常有两类: ●User Account: 一般是独立于kubernetes之外的其他服务管理的用户账号。 ●Service Account: kubern
查看k8s证书过期时间:各组件
学亮编程手记
02-22 4777
[root@k8s-n0 kuboard-install]# kubeadm alpha certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml' [check-expi
密码学专题 openssl的基本概念
CHYabc123456hh的博客
11-15 2210
配置文件 配置文件是OpenSSL的一个基础结构组件,OpenSSL使用一组称为OpenSSLCONF的函数来读取OpenSSL配置文件的信息。OpenSSL提供的主配置文件是opensl.cnf,它集成了OpenSSL所要使用的配置文件选项的大部分内容。此外,OpenSSL还提供了其他一些部分的配置文件,用于专门配置证书请求或者X.509v3证书的扩展项。 OpenSSL的配置文件使用字段的概念分成不同的部分。一般来说,每个字段的开始使用[Section_Name]来标识,直到下一个字段开始或者到达文
EasyAnimate生成示例
最新发布
04-30
EasyAnimate生成
php动态生成函数示例
01-21
以下就是php动态生成函数示例示例中用到了eval函数,我感觉如果服务器上允许用户运行这样的函数是非常危险的 复制代码 代码如下:<?$a[‘a’]=1;$a[‘b’]=1;$a[‘c’]=1;$str=”function a(){global \$a;if(\$a...
Python 音频生成器的实现示例
12-23
使用Python生成不同声音的音频 第一步先去百度AI中注册账号,在控制台中创建语音技术应用,获取AppID,API Key,Secret Key 第二步 引用 from tkinter import * from tkinter.filedialog import askdirectory from ...
c# 生成二维码的示例
12-16
但有的时候是需要动态生成的(根据动态数据生成),这个使用在线就工具就无法实现了。最好是能在代码中直接生成一个二维码图片,这里我就介绍下使用QRCoder类库在代码中生成二维码。 网上生成二维码的组件还是挺多的...
基于C#生成随机数示例
01-20
本文实例所述为C#生成随机数的类文件,按要求产生一些随机数,最大值、最小值可以自己进行设定。代码简单,可放在你的公共库内供调用使用。 类文件具体代码如下: using System; namespace DotNet.Utilities { ///...
Key usage extensions and extended key usage
迷茫的小莱
02-14 2504
转载自IBM的一篇文章 http://publib.boulder.ibm.com/infocenter/domhelp/v8r0/index.jsp?topic=%2Fcom.ibm.help.domino.admin.doc%2FDOC%2FH_KEY_USAGE_EXTENSIONS_FOR_INTERNET_CERTIFICATES_1521_OVER.html Key usa
openssl生成自签名证书
chenzhi5174的博客
04-16 819
操作环境 修改openssl配置文件 /etc/pki/tls/openssl.cnf [ CA_default ] req_extensions = v3_req [ v3_req ] basicConstraints = CA:FALSE keyUsage = nonRepudiat...
使用openssl生成自签CA证书,并用其签发其他证书
﹎际遇 ╭..
11-15 6254
openssl生成自签名ca证书,以及使用ca证书签发中间证书颁发机构,以及签发服务端和客户端证书
密钥用法 增强密钥用法 证书类型
天行健,君子以自强不息;地势坤,君子以厚德载物。
04-27 5194
密钥用法:数字签名 Digital Signature认可签名 Non Repudiation密钥加密 key Encipherment数据加密 Data Enciphe...
k8s证书过期怎么办?
qq_50119948的博客
05-05 1096
1.查看当前的使用期限 for item in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`;do openssl x509 -in $item -text -noout| grep Not;echo ======================$item===================;done 2.备份过期证书 备份证书 cp -rp /etc/kubernetes /etc/kubernetes.bak 生成配置文件 kubeadm
详解kubeadm生成证书(转)
weixin_30708329的博客
02-19 687
https://docs.lvrui.io/2018/09/28/%E8%AF%A6%E8%A7%A3kubeadm%E7%94%9F%E6%88%90%E7%9A%84%E8%AF%81%E4%B9%A6/ 学了很多次,这次,这个BLOG,算是讲得比较清楚了。。 准备升级证书罗 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~· ...
kubadm运行逻辑——init-certs证书生成与创建
baiyvwuxia的专栏
07-13 513
一、kubernetes需要的证书列表 kubeadm用于生成各个证书的重要代码段,他把各个证书的的生成封装成一个个的对象。然后放到我们subPhases中,上层的逻辑会挨个调用对象中的run函数。 74 func newCertSubPhases() []workflow.Phase { 75 subPhases := []workflow.Phase{} 76 77 // All subphase 78 allPhase := workflow.Phase{ 7
[云原生k8s] k8s的CA证书创建和使用及ETCD集群
m0_71521555的博客
11-03 1667
CA证书及ETCD集群部署
kubeadm重新生成admin.conf
Blue summer的博客
03-28 4126
一条指令搞定, kubeadm init phase kubeconfig admin 如果有多个网卡,需要用–apiserver-advertise-address指定apiserver监听地址,证书地址可以用–cert-dir指定,默认/etc/kubernetes/pki,生成的admin.conf默认为/etc/kubernetes/admin.conf ...
生成示例
05-30
以下是一个使用Vue.js框架以及Element UI组件库生成的简单示例: ```html 姓名"> 年龄"> 性别"> export default { data() { return { tableData: [ { name: '张三', age: 18, gender: '男' ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值