2. 程式人生 > 其它 >RKE 叢集證書管理

RKE 叢集證書管理

阿新 發佈:2022-03-10

v0.2.0 開始可用

注意:這不是 "Kubernetes 中的 TLS 證書管理"。更多細節請參考Kubernetes 文件和 RKE cluster.yaml 示例。

證書是 Kubernetes 叢集的重要組成部分,所有的 Kubernetes 元件都需要用到證書。您可以使用 RKE 的rke cert命令管理證書。

輪換證書

預設狀態下,Kubenetes 叢集使用由 RKE 自動生成的證書。當證書臨近過期時,或當證書被洩露時,使用者應該及時輪換證書。

完成證書輪換後,Kubernetes 元件會自動重啟,重啟後,新的證書就會生效。您可以為以下這些服務輪換證書:

  • etcd
  • kubelet (節點證書)
  • kubelet (啟用 Kubelet 選項後,可以輪換服務證書。)
  • kube-apiserver
  • kube-proxy
  • kube-scheduler
  • kube-controller-manager

RKE 具有輪換證書的能力,您可以使用rke cert命令輪換服務證書:

  • rke cert rotate:輪換全部服務證書。
  • rke cert rotate --service :輪換單個服務證書。
  • rke cert rotate --rotate-ca:輪換 CA 證書和全部服務證書。

只要您在進行證書輪換,都需要用到cluster.yml 檔案。如果您修改了cluster.yml 預設的儲存路徑,在執行證書輪換的時候,您可以使用rke cert rotate --config

指向cluster.yml 的路徑。

輪換服務證書

輪換全部服務證書

執行rke cert rotate命令,可以將所有服務正在使用的證書替換為同一證書籤發機構頒發的新證書。在命令列工具輸入該命令後,返回資訊如下。完成證書輪換後,Kubernetes 元件會自動重啟,然後新的證書就會生效。

輪換單個服務證書

執行rke cert rotate --service 命令,可以將單個服務正在使用的證書替換為同一證書籤發機構頒發的新證書。在命令列工具輸入該命令後,返回資訊如下。完成證書輪換後,Kubernetes 元件會自動重啟,然後新的證書就會生效。

的可選值包括:

  • etcd
  • kubelet
  • kube-apiserver
  • kube-proxy
  • kube-scheduler
  • kube-controller-manager

以下程式碼示例演示的是替換kubelet元件使用的證書:

rke cert rotate --service kubelet
INFO[0000] Initiating Kubernetes cluster
INFO[0000] Rotating Kubernetes cluster certificates
INFO[0000] [certificates] Generating Node certificate
INFO[0000] Successfully Deployed state file at [./cluster.rkestate]
INFO[0000] Rebuilding Kubernetes cluster with rotated certificates
.....
INFO[0033] [worker] Successfully restarted Worker Plane..

輪換 CA 證書

如果需要輪換 CA 證書,您需要為所有的服務輪換證書。使用--rotate-ca選項,可以輪換 CA 證書和所有服務的證書。完成證書輪換後,Kubernetes 元件會自動重啟,然後新的證書就會生效。

輪換 CA 證書會導致其他 system pods 重啟,這些 pods 重啟後也會使用新的 CA 證書:

  • 網路元件 Pods(canal、calico、flannel 和 weave)
  • Ingress Controller pods
  • KubeDNS pods
rke cert rotate --rotate-ca
INFO[0000] Initiating Kubernetes cluster
INFO[0000] Rotating Kubernetes cluster certificates
INFO[0000] [certificates] Generating CA kubernetes certificates
INFO[0000] [certificates] Generating Kubernetes API server aggregation layer requestheader client CA certificates
INFO[0000] [certificates] Generating Kubernetes API server certificates
INFO[0000] [certificates] Generating Kube Controller certificates
INFO[0000] [certificates] Generating Kube Scheduler certificates
INFO[0000] [certificates] Generating Kube Proxy certificates
INFO[0000] [certificates] Generating Node certificate
INFO[0001] [certificates] Generating admin certificates and kubeconfig
INFO[0001] [certificates] Generating Kubernetes API server proxy client certificates
INFO[0001] [certificates] Generating etcd-xxxxx certificate and key
INFO[0001] [certificates] Generating etcd-yyyyy certificate and key
INFO[0001] [certificates] Generating etcd-zzzzz certificate and key
INFO[0001] Successfully Deployed state file at [./cluster.rkestate]
INFO[0001] Rebuilding Kubernetes cluster with rotated certificates

相關推薦

RKE 叢集證書管理

v0.2.0 開始可用 注意:這不是 \"Kubernetes 中的 TLS 證書管理\"。更多細節請參考Kubernetes 文件和 RKE cluster.yaml 示例。

RKE 叢集節點管理

新增或刪除節點 RKE 支援為 worker、controlplane、etcd 主機新增或刪除節點。 您可以通過修改cluster.yml檔案的內容,新增額外的節點,並指定它們在 Kubernetes 叢集中的角色;或從cluster.yml中的節點列表中刪除節

Hadoop 系列(二)—— 叢集資源管理器 YARN

一、hadoop yarn 簡介 Apache YARN (Yet Another Resource Negotiator)是 hadoop 2.0 引入的叢集資源管理系統。使用者可以將各種服務框架部署在 YARN 上,由 YARN 進行統一地管理和資源分配。

Istio安全-證書管理(istio 系列六)

Istio安全-證書管理 目錄Istio安全-證書管理插入現有CA證書插入現有證書和金鑰配置示例services校驗證書解除安裝Istio的DNS證書管理DNS證書的提供和管理配置DNS證書檢查提供的DNS證書重新生成DNS證書解除安裝

python包之drmaa:叢集任務管理

目錄1. drmaa簡介2. 安裝和配置3. 示例3.1 開始和終止會話3.2 執行工作3.3 等待工作3.4 控制工作3.5 查詢工作狀態4. 應用

Redis服務之叢集節點管理

  上一篇部落格主要聊了下redis cluster的部署配置,以及使用redis.trib.rb工具所需ruby環境的搭建、使用redis.trib.rb工具建立、檢視叢集相關資訊等,回顧請參考https://www.cnblogs.com/qiuhom-1874/p/13442458.

第9章:K8s叢集證書續簽,Etcd資料庫備份與恢復

K8s叢集證書續簽,Etcd資料庫備份與恢復 K8s 叢集證書續簽(kubeadm) ETCD證書自簽證書頒發機構(CA) :• ca.crt• ca.keyetcd叢集中相互通訊使用的客戶端證書:• peer.crt• peer.keypod中定義

Https原理及證書管理

Https原理及證書管理 SSL(Secure Sockets Layer,安全套接層)/TLS(Transport Layer Security,傳輸層安全)保證了客戶端web伺服器的連線安全。客戶端通過HTTPS連線使用web資源。為建立與客戶端的安全連線,以加密格式

Exchange2007-Exchange2010升級-07 Exchange2010的證書管理

環境要求 1、客戶PC機用來進行證書的測試 2、證書伺服器這裡我放在了AD域控制器上了

.net core之BeetleX服務叢集一體化管理

>>> BeetleX.FastHttpApi一開始制定的目標就不僅僅是一個WebApi框架,由於框架完全在TCP通訊層和應用協議的基礎構建,所以使得框架在擴充套件和控制上變得簡便。以下介紹一下BeetleX.FastHttp

如何處理 Kubeadm 搭建的叢集證書過期問題

Kubeadm 證書過期處理 以下內容參考瞭如下連結:https://www.cnblogs.com/skymyyang/p/11093686.html

k8s kubernetes 叢集 證書更新操作

轉載自https://www.cnblogs.com/kuku0223/p/12978716.html 1. 各個證書過期時間 /etc/kubernetes/pki/apiserver.crt#1年有效期

Addon SuperEdge 讓原生 K8s 叢集管理邊緣應用和節點

作者 樑豪,騰訊TEG工程師,雲原生開源愛好者,SuperEdge 開發者,現負責TKEX-TEG容器平臺運維相關工作。

Rancher RKE 叢集針對大型部署的 etcd 調優

擴充套件 keyspace 容量 參考:https://etcd.io/docs/v3.4.0/op-guide/maintenance/#space-quota etcd 的預設的 keyspace 大小為 2GB,上限為 8GB。當您執行具有 15 個或更多叢集的大型 Rancher 安裝時,建議您擴

關於《通過rancher部署的k8s叢集如何檢視和更新叢集證書過期時間?》問題的解答

《通過rancher部署的k8s叢集如何檢視和更新叢集證書過期時間?》是我6月底在部落格園提出的懸賞問題。現在問題搞清楚了,在此做個簡單記錄,希望能幫到有需要的博友。

iOS 證書管理須知

證書管理(個人版) 一、iOS Distribution 釋出證書 基礎:一個帳號最多可以建立2個分發證書

叢集證書

叢集證書 kubernetes 元件眾多,這些元件之間通過 HTTP/GRPC 相互通訊,以協同完成叢集中應用的部署和管理工 作。尤其是 master 節點,更是掌握著整個叢集的操作。其安全就變得尤為重要了,在目前世面上最安全的,使

使用 kubeadm 進行證書管理

參考:https://kubernetes.io/zh/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/ 版本:v1.21 FEATURE STATE: Kubernetes v1.15 [stable]

Rancher Server RKE 叢集和下游 Kubernetes RKE 叢集的架構對比

我們對 Rancher Server 叢集上的 RKE 節點角色的建議與對執行您的業務應用的下游叢集的建議相反。

搭配 UOS 伺服器作業系統 V20,統信正式推出高可用叢集部署管理軟體統信有備(UHA)

感謝網友 菜鳥N號 的線索投遞!