Kubernetes高可用部署之CA
【摘要】 K8S的部署其实就是各个组件对接的过程,前面我们已经完成系统初始和全局的设置。今天我们来实际CA。 CA全称Certificate Authority,可信官方的意思,对应的还有秘钥。举个例子。三个小朋友ABCDEF,小朋友B想要拿玩具向A换糠果,但彼此都不相信,防止对方耍无赖,或者其他小朋友骗糠果。这时小朋友C是大家的好朋友们都相信他,然后他站了出来,为大家解...
K8S的部署其实就是各个组件对接的过程,前面我们已经完成系统初始和全局的设置。今天我们来实际CA。
CA全称Certificate Authority,可信官方的意思,对应的还有秘钥。举个例子。三个小朋友ABCDEF,小朋友B想要拿玩具向A换糠果,但彼此都不相信,防止对方耍无赖,或者其他小朋友骗糠果。这时小朋友C是大家的好朋友们都相信他,然后他站了出来,为大家解决纠纷。这时C拿出一堆小木板(证书信息)并贴上自己的名字签名(可信官方的签名)在上面给了A,以后拿这个的可以和A交易。并要求每块木板上写上其他小朋友各自的名字,有小朋友C签字的就算数,没有的就是骗子。
以上例子中,CA指的就是小朋友C,他的签字(CA官方的私钥)木板就是证书,A作为服务方向CA要了证书,其他有证书的就可以和A交易。理解了吧!
同理,K8S中各组件要和APISERVER通讯都要各自有证书,否则无效。
目前安装证的工具一般用两种openssl和cfssl,前者开源社区提供,后者cloudflare提供。区别是cfssl带有证书认下服务器。
安装cfssl(目录可自己考虑,这里只是简单贴下命令)
sudo mkdir -p /opt/k8s/cert && sudo chown -R k8s /opt/k8s && cd /opt/k8s
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
mv cfssl_linux-amd64 /opt/k8s/bin/cfssl
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
mv cfssljson_linux-amd64 /opt/k8s/bin/cfssljson
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
mv cfssl-certinfo_linux-amd64 /opt/k8s/bin/cfssl-certinfo
chmod +x /opt/k8s/bin/*export PATH=/opt/k8s/bin:$PATH
创建根证书,配置文件ca-config.json
{
"signing": {
"default": {
"expiry": "99999h"
},
"profiles": {
"kubernetes": {
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
],
"expiry": "99999h"
}
}
}
}
具体的意思就不解释了,大家百度下吧。
创建请求文件,证书的生成要求有配置文件,然后按配置文件生成请求文件ca-csr.json(名字自取)
{
"CN": "kubernetes",
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "BeiJing",
"L": "BeiJing",
"O": "k8s",
"OU": "4Paradigm"
}
]
}
生成CA和私钥
这个很简单了
cfssl gencert -initca ca-csr.json | cfssljson -bare ca
分发证书,把证书复制到其他node2和node3
mkdir -p /etc/kubernetes/cert && chown -R k8s /etc/kubernetes
scp ca*.pem ca-config.json /etc/kubernetes/cert
【声明】本内容来自华为云开发者社区博主,不代表华为云及华为云开发者社区的观点和立场。转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)