2. 程式人生 > >kubernetes部署之創建TLS證書(2)

kubernetes部署之創建TLS證書(2)

阿新 發佈:2017-05-30
efault control sage 啟用 簽名證書 sched amd .json 進行

研究過kubernetes的同事們都知道,kubernetes如果需要啟用TLS認證,那麽制作證書是必不可少的一步。然而,很多人在制作證書上遇到了很多的麻煩。今天主要記錄一次我在部署kubernetes的過程中,是如何制作證書的。在整個過程中,將詳細列出各組件的啟動參數,給出配置文件,以及詳解它們的含義和可能遇到的問題。

一、部署前準備

1.1 主機環境

環境參考ETCD集群部署,這裏會增加一個VIP(192.168.15.200),用戶實現kubernetes master高可用;

1.2 安裝cfssl工具

cd /usr/src/
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
chmod +x cfssl_linux-amd64
mv cfssl_linux-amd64 /usr/local/bin/cfssl
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
chmod +x cfssljson_linux-amd64
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x cfssl-certinfo_linux-amd64
mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo

二、生成證書

2.1 創建CA證書

mkdir /root/ssl
cd /root/ssl
cat >> ca-config.json << EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}
 

EOF

提示:

  ca-config.json:可以定義多個 profiles,分別指定不同的過期時間、使用場景等參數,後續在簽名證書時使用某個profile

  signing:表示該證書可用於簽名其它證書,生成的ca.pem證書中CA=TRUE

  server auth:表示client可以用該CAserver提供的證書進行驗證;

  client auth:表示server可以用該CAclient提供的證書進行驗證;

創建CA證書簽名請求配置:

cat >> ca-csr.json << EOF
{
  "CN": "kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "system"
    }
  ]
}
EOF

提示:

  CNCommon Namekube-apiserver從證書中提取該字段作為請求的用戶名;

  OOrganizationkube-apiserver從證書中提取該字段作為請求用戶所屬的組;

用cfssl生成CA證書以及頒發證書:

 cfssl gencert -initca ca-csr.json | cfssljson -bare ca

2.2 創建apiserver證書

cat >> apiserver-csr.json << EOF
{
    "CN": "kubernetes",
    "hosts": [
      "127.0.0.1",
      "192.168.15.131",
      "192.168.15.132",
      "192.168.15.133",
      "192.168.15.200",
      "10.96.0.1",
      "kubernetes",
      "kubernetes.default",
      "kubernetes.default.svc",
      "kubernetes.default.svc.cluster",
      "kubernetes.default.svc.cluster.local"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "ST": "BeiJing",
            "L": "BeiJing",
            "O": "k8s",
            "OU": "system"
        }
    ]
}
EOF

提示:註意上面配置hosts字段中制定授權使用該證書的IP和域名列表,因為現在要生成的證書需要被Kubernetes Master集群各個節點使用,所以這裏指定了各個節點的IP和hostname。同時還要指定集群內部kube-apiserver的多個域名和IP地址10.96.0.1(後邊kube-apiserver-service-cluster-ip-range=10.96.0.0/12參數的指定網段的第一個IP)。最後一點,如果你用到了VIP這裏也是需要添加該IP地址的。

生成kube-apiserver的證書和私鑰:

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=frognew apiserver-csr.json | cfssljson -bare apiserver

2.3 創建kubernetes-admin證書以及私鑰

cat >> admin-csr.json << EOF
{
  "CN": "kubernetes-admin",
  "hosts": [
        "192.168.15.131",
        "192.168.15.132",
        "192.168.15.133",
        "192.168.15.200"
  ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "system:masters",
      "OU": "system"
    }
  ]
}
EOF

提示:kube-apiserver將提取CN作為客戶端的用戶名,這裏是kubernetes-admin,將提取O作為用戶所屬的組,這裏是system:master。 kube-apiserver預定義了一些 RBAC使用的ClusterRoleBindings,例如 cluster-admin將組system:masters與 ClusterRole cluster-admin綁定,而cluster-admin擁有訪問kube-apiserver的所有權限,因此kubernetes-admin這個用戶將作為集群的超級管理員。(具體參考kubernetes 認證相關文檔)

生成kubernetes-admin的證書和私鑰:

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=frognew admin-csr.json | cfssljson -bare admin

2.4 創建kubernetes-controller-manager證書和私鑰

cat >> controller-manager-csr.json << EOF
{
  "CN": "system:kube-controller-manager",
  "hosts": [
      "192.168.15.131",
      "192.168.15.132",
      "192.168.15.133",
      "192.168.15.200"
  ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "system:kube-controller-manager",
      "OU": "system"
    }
  ]
}
EOF

提示:kube-apiserver將提取CN作為客戶端的用戶名,這裏是system:kube-controller-manager。 kube-apiserver預定義的 RBAC使用的ClusterRoleBindings system:kube-controller-manager將用戶system:kube-controller-manager與ClusterRole system:kube-controller-manager綁定。

生成kubernetes-controller-manager證書及私鑰:

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=frognew controller-manager-csr.json | cfssljson -bare controller-manager

2.5 創建kubernetes-scheduler證書及私鑰

cat >> scheduler-csr.json << EOF 
{
  "CN": "system:kube-scheduler",
  "hosts": [
      "192.168.15.131",
      "192.168.15.132",
      "192.168.15.133",
      "192.168.15.200"
  ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "system:kube-scheduler",
      "OU": "system"
    }
  ]
}
EOF

提示:kube-scheduler將提取CN作為客戶端的用戶名,這裏是system:kube-scheduler。 kube-apiserver預定義的RBAC使用的ClusterRoleBindings system:kube-scheduler將用戶system:kube-scheduler與ClusterRole system:kube-scheduler綁定。

生成kubernetes-scheduler證書及私鑰:

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=frognew scheduler-csr.json | cfssljson -bare scheduler

至此,所有相關證書制作完成!

kubernetes部署之創建TLS證書(2)

相關推薦

kubernetes部署TLS證書(2)

efault control sage 啟用 簽名證書 sched amd .json 進行 研究過kubernetes的同事們都知道,kubernetes如果需要啟用TLS認證,那麽制作證書是必不可少的一步。然而,很多人在制作證書上遇到了很多的麻煩。今天主要記錄一次我在部

TLS證書和秘鑰

cfssl創建TLS證書和秘鑰前言執行下列步驟前建議你先閱讀以下內容:管理集群中的TLS:教您如何創建TLS證書kubelet的認證授權:向您描述如何通過認證授權來訪問 kubelet 的 HTTPS 端點。TLS bootstrap:介紹如何為 kubelet 設置 TLS 客戶端證書引導(bootstra

Exchange Server 2016管理系列課件42.DAG部署DAG組並添加成員

Exchange 2016 DAG部署 創建DAG 官方參考鏈接 創建數據庫可用性組 https://technet.microsoft.com/ZH-CN/library/dd351172(v=exchg.160).aspx刪除數據庫可用性組 https://technet.microsof

(轉自精通Python設計模式)Python設計模式型模式——2.建造者模式

生成 需要 結構 progress per 展示 有意 odi con   建造者模式將一個復雜對象的構造過程與其表現分離,這樣,同一個構造過程可用於創建多個不同的表現。   我們來看個實際的例子,假設我們想要創建一個HMTL頁面生成器,HTML頁面的基本結構(構造組件)

微軟超融合私有雲測試10-SCVMM2016部署運行方式賬戶與添加委派

erb 融合 log 屬性 測試 路徑 分享圖片 設置 ext 1. 創建運行方式賬戶VMM安裝成功後,首先創建執行任務的運行方式賬戶用以執行SCVMM的操作,SCVMM執行操作時會自動調用運行方式賬戶的憑據去執行,例如部署SCVMM代理,查詢Hyper-V宿主機的狀態等,

Kubernetes入門篇(六)K8S應用

target extension virt host bsp node ash ava -type 一、創建K8S的第一個應用 [root@linux-node1 ~]# kubectl run net-test --image=alpine --replicas

ECMAScript面向對象(二)——對象方法總結

擴展 console 動態 原型 struct 私有屬性 true asc 一份 創建對象的方法 工廠模式 缺點:無法識別對象的類型,因為根本沒有定義新的對象類型 // 工廠模式創建對象 //定義 function createPerson(name,age,

CloudStack+XenServer詳細部署方案高級網絡資源域

cloudstack+xenserver詳細部署方案(5):創建高級網絡資源域CloudStack+XenServer詳細部署方案(5):創建高級網絡資源域本文將根據設計文檔結合和之前創建的XenServer 資源池, 介紹CloudStack高級網絡資源域的創建過程。Step1. 選擇高級網絡模式, 單擊下

Java對象>5.Avoid creating unnecessary objects

alloc spa color win set 根據 優化 ava 生日 String s = new String("stringette"); // DON‘T DO THIS! The improved version is simply the followin

Oracle進階學習數據庫

oracle 用戶 表空間 實例名 寫在前面: Oracle在創建用戶的時候默認使用的表空間為User,我們一般不建議這樣做,因為默認表空間的大小是固定的,如果我們創建的所有用戶都使用默認的表空間會導致表空間空間不足,會導致指向User表空間的所有用戶無法正常使用,聽起來是多麽可怕的一件

Directx9.0 學習教程3 -圖形學點 線 三角形 等

d3d custom 發現 介紹 data- directx 組成 water 詳細 1、首先 介紹點的表示方法 struct CUSTOMVERTEX { float x,y,z; }; CUSTOMVERTEX Vertices[] = { {-5.0

Greenplum中定義數據庫對象與管理模式

定義數據 多個 sql master help valid border man -m 創建與管理模式 概述:DB內組織對象的一種邏輯結構。一個DB內能夠有多個模式。在未指定模式時默認放置在public中。能夠通過”\dn”方式查看數據庫中現有模式。

lucene索引代碼

dao 根據 arr conf document 通過 數據 getname pan public void createIndex() throws IOException { // 第一步采集數據:(jdbc采集數據) BookDao dao = new BookDao

Docker實戰一個tomcat容器

意思 alt 實戰 技術 maintain art 學習 ack to do 一、Docker與虛擬機的區別 二、Docker學習步驟 2.1:安裝宿主操作系統 在VMVare中安裝了Ubuntu 16.04.2 LTS (GNU/Linux 4.4.0-

Git使用(二)版本庫

pwd spa utf ons 輸入 mit 文本文件 bsp commit 1、安裝完成後,在開始菜單裏找到“Git”->“Git Bash”,蹦出一個類似命令行窗口的東西,就說明Git安裝成功! 安裝完成後,還需要最後一步設置,在命令行輸入: $ git co

python文件寫入內容

class 重名 pen true adl blog open ont 數據 #!/usr/bin/python #-*-conding-*- #創建文件,並寫入數據:要求不能與現存系統文件重名 import os def makefile(path,content)

Java基礎實例化對象的方式

ron win const 返回對象 常見 stream lan truct str Java中創建(實例化)對象的五種方式 1、用new語句直接創建對象,這是最常見的創建對象的方法。 2、通過工廠方法返回對象,如:String str = String.valueO

[轉] Oracle學習數據庫(新建實例)

bsp 32位 word src 親測 模式 chm 數據庫實例 test 由於項目需求,在本機中開發,需要新建oracle數據庫實例,親測可以。 出處:http://blog.csdn.NET/luiseradl/article/details/6972217

C#.Net 設計模式學習筆記型 (一)

應用 種類 單件 src nag abstract 子類 指定 相關 1、抽象工廠(Abstract Factory)模式 常規的對象創建方法: //創建一個Road對象 Road road =new Road(); new 的問題: 實現依賴,不能應對“具

【03】react component

更強 系列 生命周期 object mem efi 多余 element edi React推出後,出於不同的原因先後出現三種定義react組件的方式,殊途同歸;具體的三種方式: 函數式定義的無狀態組件 es5原生方式React.createClass定義的組件 es6形