(一)k8s之系统初始化及ca证书申请

#(1)环境规划

master01 192.168.19.128
master02 192.168.19.129
node01 192.168.19.130
node02 192.168.19.131
中转机: 192.168.19.132

#(2)关闭防火墙, selinux以及安装docker;所有机器上都要操作

systemctl stop firewalld
systemctl  disable firewalld
sed -ri ‘/^SELINUX=/cSELINUX=disabled‘ /etc/selinux/config
setenforce 0
\cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
curl -o  /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
which ntpdate | yum install ntpdate -y
ntpdate time.windows.com
curl -o /etc/yum.repos.d/docker-ce.repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
yum install docker-ce-17.06.0.ce-1.el7.centos.x86_64 -y
systemctl enable docker
systemctl start docker
cat >> /etc/docker/daemon.json <<EOF
{
     "registry-mirrors": ["https://ui5lsypg.mirror.aliyuncs.com"]
}
EOF
sudo systemctl daemon-reload
sudo systemctl restart docker
mkdir /opt/kubernetes/{ssl,bin,cfg} -pv

#(3)在中转机器上安装cfssl证书生成工具

which wget || yum install wget -y
test -d /tools || mkdir /tools
cd /tools
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x cfssl_linux-amd64 cfssljson_linux-amd64 cfssl-certinfo_linux-amd64
mv cfssl_linux-amd64 /usr/local/bin/cfssl
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
mv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo

#(4)在中转机器上生成及分发ca
配置生成ca证书的策略

#mkdir -pv  /temp/ssl && cd /temp/ssl
#vi ca-config.json
{
"signing": {
        "default": {
            "expiry": "876000h"
        },
        "profiles": {
            "kubernetes": {
    "expiry": "876000h",
                "usages": [
                        "signing",
                        "key encipherment",
                        "server auth",
                        "client auth"
                ],
                "expiry": "876000h"
            }
        }
}
}

生成ca证书签署请求

#vi ca-csr.json
{
    "CN": "kubernetes",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "ST": "Hangzhou",
            "L": "Hangzhou",
            "O": "k8s",
            "OU": "System"
        }
    ]
}

生成ca证书 和私钥

#cfssl gencert -initca ca-csr.json | cfssljson -bare ca

把ca证书和ca私钥scp到master和node节点

scp ca*.pem  master01:/opt/kubernetes/ssl
scp ca*.pem  master02:/opt/kubernetes/ssl
scp ca*.pem  node02:/opt/kubernetes/ssl
scp ca*.pem  node01:/opt/kubernetes/ssl

原文地址:https://blog.51cto.com/1000682/2357204

时间: 2024-08-30 13:34:08

(一)k8s之系统初始化及ca证书申请的相关文章

Linux系统搭建私有CA证书服务器

一.CA简介 CA是什么?CA是Certificate Authority的简写,从字面意思翻译过来是凭证管理中心,认证授权.它有点类似我们生活中的身份证颁发机构,这里的CA就相当于生活中颁发身份证的机构.不同于生活中的颁发机构,这里的CA是给服务器颁发证书.颁发证书的目的同生活中的办理身份证的目的类似,都是为了证明一件事,生活中的身份证可以证明我们是一个合法的公民,而服务器颁发证书的目的也是证明我们服务是一个合法的服务器,换句话说就是有了证书我们就可以清楚知道我们访问的服务器到底是不是我们真正

CA证书申请、认证原理

(一) 证书的申请 密钥文件的格式用OpenSSL生成的就只有PEM和DER两种格式,PEM的是将密钥用base64编码表示出来的,直接打开你能看到一串的英文字母,DER格式是二进制的密钥文件,直接打开,你可以看到........你什么也看不懂!.X509是通用的证书文件格式定义.pkcs的一系列标准是指定的存放密钥的文件标准,你只要知道PEM DER X509 PKCS这几种格式是可以互相转化的. 1.创建私钥 : openssl genrsa -out ca/ca-key.pem 1024

阿里云云盾服务证书免费CA证书申请与配置

申请入口(首页导航产品->安全->CA证书服务->立即购买) 免费版选择步骤一步一步来 1.品牌选 Symantec 2.保护类型选择 一个域名(免费版只能一个好像) 3.证书类型选择免费型DV SSL 选择完后点击立即购买,确认支付等等,最后进入证书控制台(也就是以上图2的管理控制台) 如下就是刚完成申请的证书实例 点击补全,输入需要证书要绑定的域名(例如 www.shop.izhiwo.com),填写你得基本信息,不需要是管理员,只要能联系就行.填写完毕后,该实例状态会变为待审核,然

2.制作CA证书

这页内容,不特别声明.只在node1上做操作. 1.安装 CFSSL [[email protected] ~]# cd /usr/local/src [[email protected] src]# wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 [[email protected] src]# wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 [[email protected] s

Kubernetes部署(三):CA证书制作

手动制作CA证书 1.安装 CFSSL [[email protected] ~]# cd /usr/local/src [[email protected] src]# wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 [[email protected] src]# wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 [[email protected] src]# wget https

Openssl CA证书生成以及双向认证,及windows系统证书批量导出,android cer转bks

Openssl CA证书生成以及双向认证 首先本文主要参照这篇文章写的 http://h2appy.blog.51cto.com/609721/1181234 只是途中有些问题折腾了一下,比如openssl.cnf如何来的,这个文件在编译完openssl后,应该openssl根目录下/apps/demoCA有个,可以把他拷贝到openssl.exe同一级目录 里面有些目录配置,自己可以修改下,但是我没有修改,所以最后生成的文件路径必须按openssl.cnf里面来,至于如何编译openssl 请

Win2012R2 Hyper-V初级教程15 -- 基于Kerberos与CA证书的系统容灾(中)

二.基于CA证书的HTTPS复制 ??????? 刚刚看了一下关于基于Kerberos与CA证书的系统容灾(上)还是2017-08-31写的,到现在半年过去了,懒癌太重了,一直没有更新,从今天起将逐步更新完初级教程,希望能够有更多的博友了解并学习微软的虚拟化技术.前面我们说到了基于HTTP的复制,在内部网络的时候我们可以采用这种方法,因为本身而言内网相对安全很多,如果你是需要进行跨广域网的复制,建议你最好配置CA证书服务,通过443端口进行数据传输,以保证数据的安全性.下面我们就来说一下基于CA

Win2012R2 Hyper-V初级教程15 -- 基于Kerberos与CA证书的系统容灾(下)

上一文已经讲到了基于CA证书下的HTTPS复制,这里我们简单测试一下故障转移是否正常. 三.测试故障转移 1.为了验证此功能是否真的有效,我们需要对其进行一次测试,下面我们对本身没有123.txt的桌面添加此文件,然后我们再来看一下在同步复制完成后,此功能是否生效. 2.右击对应的虚拟机,选择"复制"点击"查看复制运行状况(V)..." 3.在这里我们可以看到复制的状态,等待他复制完成后,我们再进行测试. 4.下面我们右击选择对应的副本服务器选择"测试故障

Centos7部署kubernetes集群CA证书创建和分发(二)

1.解压软件包 [[email protected] ~]# cd /usr/local/src/ [[email protected] src]# ls k8s-v1.10.1-manual.zip [[email protected] src]# unzip k8s-v1.10.1-manual.zip [[email protected] src]# cd k8s-v1.10.1-manual [[email protected] k8s-v1.10.1-manual]# cd k8s-v