Kubernetes高可用部署之CA

        K8S的部署其实就是各个组件对接的过程，前面我们已经完成系统初始和全局的设置。今天我们来实际CA。

        CA全称Certificate Authority，可信官方的意思，对应的还有秘钥。举个例子。三个小朋友ABCDEF，小朋友B想要拿玩具向A换糠果，但彼此都不相信，防止对方耍无赖，或者其他小朋友骗糠果。这时小朋友C是大家的好朋友们都相信他，然后他站了出来，为大家解决纠纷。这时C拿出一堆小木板（证书信息）并贴上自己的名字签名(可信官方的签名)在上面给了A，以后拿这个的可以和A交易。并要求每块木板上写上其他小朋友各自的名字，有小朋友C签字的就算数，没有的就是骗子。

        以上例子中，CA指的就是小朋友C，他的签字（CA官方的私钥）木板就是证书，A作为服务方向CA要了证书，其他有证书的就可以和A交易。理解了吧！

        同理，K8S中各组件要和APISERVER通讯都要各自有证书，否则无效。

        目前安装证的工具一般用两种openssl和cfssl，前者开源社区提供，后者cloudflare提供。区别是cfssl带有证书认下服务器。

        安装cfssl(目录可自己考虑，这里只是简单贴下命令)

sudo mkdir -p /opt/k8s/cert && sudo chown -R k8s /opt/k8s && cd /opt/k8s
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
mv cfssl_linux-amd64 /opt/k8s/bin/cfssl

wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
mv cfssljson_linux-amd64 /opt/k8s/bin/cfssljson

wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
mv cfssl-certinfo_linux-amd64 /opt/k8s/bin/cfssl-certinfo

chmod +x /opt/k8s/bin/*export PATH=/opt/k8s/bin:$PATH

    创建根证书，配置文件ca-config.json

{
  "signing": {
    "default": {
      "expiry": "99999h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "99999h"
      }
    }
  }
}

具体的意思就不解释了，大家百度下吧。

创建请求文件，证书的生成要求有配置文件，然后按配置文件生成请求文件ca-csr.json（名字自取）

{
  "CN": "kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "4Paradigm"
    }
  ]
}

生成CA和私钥

这个很简单了

cfssl gencert -initca ca-csr.json | cfssljson -bare ca

分发证书，把证书复制到其他node2和node3

mkdir -p /etc/kubernetes/cert && chown -R k8s /etc/kubernetes
    scp ca*.pem ca-config.json /etc/kubernetes/cert