手动搭建k8s-1-10-4之创建CA证书和秘钥
文章发布较早,内容可能过时,阅读注意甄别。
# 1,安装 cfssl 工具集
从现在开始,所有的操作都在 kube-node1 的 k8s 用户家目录下执行。
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
mv cfssljson_linux-amd64 /opt/k8s/bin/cfssljson
mv cfssl_linux-amd64 /opt/k8s/bin/cfssl
mv cfssl-certinfo_linux-amd64 /opt/k8s/bin/cfssl-certinfo
chmod +x /opt/k8s/bin/*
export PATH=/opt/k8s/bin:$PATH
1
2
3
4
5
6
7
8
2
3
4
5
6
7
8
# 2,创建根证书 (CA)
CA 证书是集群所有节点共享的,只需要创建一个 CA 证书,后续创建的所有证书都由它签名。
# 1,创建配置文件
CA 配置文件用于配置根证书的使用场景 (profile) 和具体参数 (usage,过期时间、服务端认证、客户端认证、加密等),后续在签名其它证书时需要指定特定场景。
cat > ca-config.json <<EOF
{
"signing": {
"default": {
"expiry": "87600h"
},
"profiles": {
"kubernetes": {
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
],
"expiry": "87600h"
}
}
}
}
EOF
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
- signing:表示该证书可用于签名其它证书,生成的 ca.pem 证书中 CA=TRUE;
- server auth:表示 client 可以用该该证书对 server 提供的证书进行验证;
- client auth:表示 server 可以用该该证书对 client 提供的证书进行验证;
# 2,创建证书签名请求文件
cat > ca-csr.json <<EOF
{
"CN": "kubernetes",
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "BeiJing",
"L": "BeiJing",
"O": "k8s",
"OU": "4Paradigm"
}
]
}
EOF
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
- CN:Common Name,kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name),浏览器使用该字段验证网站是否合法;
- O:Organization,kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group);
- kube-apiserver 将提取的 User、Group 作为 RBAC 授权的用户标识;
# 3,生成 CA 证书和私钥
$cfssl gencert -initca ca-csr.json | cfssljson -bare ca
2018/11/23 22:46:19 [INFO] generating a new CA key and certificate from CSR
2018/11/23 22:46:19 [INFO] generate received request
2018/11/23 22:46:19 [INFO] received CSR
2018/11/23 22:46:19 [INFO] generating key: rsa-2048
2018/11/23 22:46:20 [INFO] encoded CSR
2018/11/23 22:46:20 [INFO] signed certificate with serial number 652945881726401134885162916242742430723518895911
$ls ca*
ca-config.json ca.csr ca-csr.json ca-key.pem ca.pem
1
2
3
4
5
6
7
8
9
2
3
4
5
6
7
8
9
# 3,分发证书文件
将生成的 CA 证书、秘钥文件、配置文件拷贝到所有节点的 /etc/kubernetes/cert 目录下。
cat > magic.sh << "EOF"
#!/bin/bash
source /opt/k8s/bin/environment.sh
for node_ip in ${NODE_IPS[@]}
do
echo ">>> ${node_ip}"
scp ca*.pem ca-config.json k8s@${node_ip}:/etc/kubernetes/cert
done
EOF
1
2
3
4
5
6
7
8
9
2
3
4
5
6
7
8
9
- k8s 账户需要有读写 /etc/kubernetes 目录及其子目录文件的权限
# 4,参考
上次更新: 2024/06/13, 22:13:45
|