美文网首页学习空间K8s
二进制安装-k8s高可用集群02-创建CA证书和秘钥

二进制安装-k8s高可用集群02-创建CA证书和秘钥

作者: Chris0Yang | 来源:发表于2021-08-25 22:13 被阅读0次

1) 安装 cfssl 工具集

从现在开始所有的操作,都要在 master机器下执行
可以参考上一章文档:4)无密码 ssh 登录其它节点

mkdir -p /data/application && cd /data/application
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64

cp /data/application/cfssljson_linux-amd64 /opt/k8s/bin/cfssljson
cp /data/application/cfssl_linux-amd64 /opt/k8s/bin/cfssl
cp /data/application/cfssl-certinfo_linux-amd64 /opt/k8s/bin/cfssl-certinfo
chmod +x /opt/k8s/bin/*

2) 创建根证书 (CA)

CA 证书是集群所有节点共享的,只需要创建一个 CA 证书,后续创建的所有证书都由它签名

1、创建配置文件

CA 配置文件用于配置根证书的使用场景 (profile) 和具体参数 (usage,过期时间、服务端认证、客户端认证、加密等),后续在签名其它证书时需要指定特定场景

cat > /data/cert/ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}
EOF
  • signing:表示该证书可用于签名其它证书,生成的 ca.pem 证书中 CA=TRUE;
  • server auth:表示 client 可以用该该证书对 server 提供的证书进行验证;
  • client auth:表示 server 可以用该该证书对 client 提供的证书进行验证;

2、创建证书签名请求文件

cat > /data/cert/ca-csr.json <<EOF
{ 
  "CN": "kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "4Paradigm"
    }
  ]
}
EOF
  • CN:Common Name,kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name),浏览器使用该字段验证网站是否合法;
  • O:Organization,kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group);
    kube-apiserver 将提取的 User、Group 作为 RBAC 授权的用户标识;

3、生成 CA 证书和私钥

[root@master cert]# cfssl gencert -initca /data/cert/ca-csr.json | cfssljson -bare ca
20XX/XX/XX XX:XX:XX [INFO] generating a new CA key and certificate from CSR
20XX/XX/XX XX:XX:XX [INFO] generate received request
20XX/XX/XX XX:XX:XX [INFO] received CSR
20XX/XX/XX XX:XX:XX [INFO] generating key: rsa-2048
20XX/XX/XX XX:XX:XX [INFO] encoded CSR
20XX/XX/XX XX:XX:XX [INFO] signed certificate with serial number 652945881726401134885162916242742430723518895911

[root@master cert]# ls ca*
ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem

3) 分发证书文件

将生成的 CA 证书、秘钥文件、配置文件拷贝到所有节点的 /etc/kubernetes/cert 目录下

cat > magic09_cert.sh << "EOF"
#!/bin/bash
# 分发证书文件
source /opt/k8s/bin/environment.sh
for node_ip in ${NODE_IPS[@]}
do
    echo ">>> ${node_ip}"
    scp /data/cert/ca* root@${node_ip}:/etc/kubernetes/cert
done
EOF
  • k8s 账户需要有读写 /etc/kubernetes 目录及其子目录文件的权限

4) 参考

各种 CA 证书类型:https://github.com/kubernetes-sigs/apiserver-builder-alpha/blob/master/docs/concepts/auth.md

相关文章

网友评论

    本文标题:二进制安装-k8s高可用集群02-创建CA证书和秘钥

    本文链接:https://www.haomeiwen.com/subject/xyweiltx.html

    延伸阅读

    深度阅读

    • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

    栏目导航

    热点阅读

    学习空间

    K8s

    关于我们|服务条款|联系我们|二进制安装-k8s高可用集群02-创建CA证书和秘钥|投稿指南|网站地图|RSS订阅|排版工具|手机版

    提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

    Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

    备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

    本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

    所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!