Kubernetes高可用部署之CA
K8S的部署其实就是各个组件对接的过程,前面我们已经完成系统初始和全局的设置。今天我们来实际CA。
CA全称Certificate Authority,可信官方的意思,对应的还有秘钥。举个例子。三个小朋友ABCDEF,小朋友B想要拿玩具向A换糠果,但彼此都不相信,防止对方耍无赖,或者其他小朋友骗糠果。这时小朋友C是大家的好朋友们都相信他,然后他站了出来,为大家解决纠纷。这时C拿出一堆小木板(证书信息)并贴上自己的名字签名(可信官方的签名)在上面给了A,以后拿这个的可以和A交易。并要求每块木板上写上其他小朋友各自的名字,有小朋友C签字的就算数,没有的就是骗子。
以上例子中,CA指的就是小朋友C,他的签字(CA官方的私钥)木板就是证书,A作为服务方向CA要了证书,其他有证书的就可以和A交易。理解了吧!
同理,K8S中各组件要和APISERVER通讯都要各自有证书,否则无效。
目前安装证的工具一般用两种openssl和cfssl,前者开源社区提供,后者cloudflare提供。区别是cfssl带有证书认下服务器。
安装cfssl(目录可自己考虑,这里只是简单贴下命令)
sudo mkdir -p /opt/k8s/cert && sudo chown -R k8s /opt/k8s && cd /opt/k8s wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 mv cfssl_linux-amd64 /opt/k8s/bin/cfssl wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 mv cfssljson_linux-amd64 /opt/k8s/bin/cfssljson wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 mv cfssl-certinfo_linux-amd64 /opt/k8s/bin/cfssl-certinfo chmod +x /opt/k8s/bin/*export PATH=/opt/k8s/bin:$PATH
创建根证书,配置文件ca-config.json
{ "signing": { "default": { "expiry": "99999h" }, "profiles": { "kubernetes": { "usages": [ "signing", "key encipherment", "server auth", "client auth" ], "expiry": "99999h" } } } }
具体的意思就不解释了,大家百度下吧。
创建请求文件,证书的生成要求有配置文件,然后按配置文件生成请求文件ca-csr.json(名字自取)
{ "CN": "kubernetes", "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "ST": "BeiJing", "L": "BeiJing", "O": "k8s", "OU": "4Paradigm" } ] }
生成CA和私钥
这个很简单了
cfssl gencert -initca ca-csr.json | cfssljson -bare ca
分发证书,把证书复制到其他node2和node3
mkdir -p /etc/kubernetes/cert && chown -R k8s /etc/kubernetes scp ca*.pem ca-config.json /etc/kubernetes/cert
- 点赞
- 收藏
- 关注作者
评论(0)