建立 CA 证书和秘钥 k8s部署系列-准备工做
说明:本部署文章参照了 https://github.com/opsnull/follow-me-install-kubernetes-cluster ,欢迎给做者star
上一篇:k8s部署系列-准备工做html
如下步骤在192.168.161.150上进行操做.node
1.安装 cfssl 工具集
sudo mkdir -p /opt/k8s/cert && cd /opt/k8s wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 mv cfssl_linux-amd64 /opt/k8s/bin/cfssl wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 mv cfssljson_linux-amd64 /opt/k8s/bin/cfssljson wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 mv cfssl-certinfo_linux-amd64 /opt/k8s/bin/cfssl-certinfo chmod +x /opt/k8s/bin/* export PATH=/opt/k8s/bin:$PATH
2.建立根证书 (CA)
CA 证书是集群全部节点共享的,只须要建立一个 CA 证书,后续建立的全部证书都由它签名。linux
建立配置文件
CA 配置文件用于配置根证书的使用场景 (profile) 和具体参数 (usage,过时时间、服务端认证、客户端认证、加密等),后续在签名其它证书时须要指定特定场景。git
cd /opt/k8s/work cat > ca-config.json <<EOF { "signing": { "default": { "expiry": "87600h" }, "profiles": { "kubernetes": { "usages": [ "signing", "key encipherment", "server auth", "client auth" ], "expiry": "87600h" } } } } EOF
signing:表示该证书可用于签名其它证书,生成的ca.pem证书中CA=TRUE;server auth:表示 client 能够用该该证书对 server 提供的证书进行验证;client auth:表示 server 能够用该该证书对 client 提供的证书进行验证;
建立证书签名请求文件
cd /opt/k8s/work cat > ca-csr.json <<EOF { "CN": "kubernetes", "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "ST": "BeiJing", "L": "BeiJing", "O": "k8s", "OU": "4Paradigm" } ] } EOF
- CN:
Common Name,kube-apiserver 从证书中提取该字段做为请求的用户名 (User Name),浏览器使用该字段验证网站是否合法; - O:
Organization,kube-apiserver 从证书中提取该字段做为请求用户所属的组 (Group); - kube-apiserver 将提取的 User、Group 做为
RBAC受权的用户标识;
3.生成 CA 证书和私钥
mkdir -p /opt/k8s/work cd /opt/k8s/work cfssl gencert -initca ca-csr.json | cfssljson -bare ca ls ca*
4.分发证书文件
将生成的 CA 证书、秘钥文件、配置文件拷贝到全部节点的 /etc/kubernetes/cert 目录下:github
cd /opt/k8s/work source /opt/k8s/bin/environment.sh # 导入 NODE_IPS 环境变量 for node_ip in ${NODE_IPS[@]} do echo ">>> ${node_ip}" ssh root@${node_ip} "mkdir -p /etc/kubernetes/cert" scp ca*.pem ca-config.json root@${node_ip}:/etc/kubernetes/cert done
相关文章
- 1. 【k8s部署】2. 建立CA根证书和秘钥
- 2. 部署 kubectl 命令行工具 建立 CA 证书和秘钥
- 3. 微服务实战系列 k8s部署系列-准备工做 建立 CA 证书和秘钥 部署 flannel 网络插件
- 4. 02-建立 TLS CA证书及密钥
- 5. 利用CA私钥和证书建立中间CA
- 6. Lync Server 2013企业版部署系列之三:CA准备
- 7. 建立私有CA和证书申请
- 8. Kubernetes部署(三):CA证书制做
- 9. 部署 CA 和 NPS 服务器证书
- 10. XenServer部署系列之01——准备工做
- 更多相关文章...
- • Maven 自动化部署 - Maven教程
- • ionic 头部和底部 - ionic 教程
- • 使用阿里云OSS+CDN部署前端页面与加速静态资源
- • 适用于PHP初学者的学习线路和建议
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 安装cuda+cuDNN
- 2. GitHub的使用说明
- 3. phpDocumentor使用教程【安装PHPDocumentor】
- 4. yarn run build报错Component is not found in path “npm/taro-ui/dist/weapp/components/rate/index“
- 5. 精讲Haproxy搭建Web集群
- 6. 安全测试基础之MySQL
- 7. C/C++编程笔记:C语言中的复杂声明分析,用实例带你完全读懂
- 8. Python3教程(1)----搭建Python环境
- 9. 李宏毅机器学习课程笔记2:Classification、Logistic Regression、Brief Introduction of Deep Learning
- 10. 阿里云ECS配置速记
欢迎关注本站公众号,获取更多信息
