2. 程式人生 > >etcd啟用https服務

etcd啟用https服務

阿新 發佈:2018-04-15
ini 私有 fig 直接 amd 簽名 啟用 ID 12.1

[toc]

關於etcd的集群配置可直接參考etcd集群部署

這篇文檔只是在其基礎上增加ssl加密驗證的過程。

要讓集群使用ssl,首先需要為集群生成ssl證書。

我們使用cfssl系列工具來生成相關證書。

cfssl相關工具下載

curl -s -L -o /opt/kubernetes/bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
curl -s -L -o /opt/kubernetes/bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
chmod +x /opt/kubernetes/bin/{cfssl,cfssljson}

生成etcd所需要的ssl證書

生成ca證書

ca-config.json配置如下:

{
    "signing": {
        "default": {
            "expiry": "175200h"
        },
        "profiles": {
            "kubernetes": {
                "expiry": "175200h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth",
            "client auth"
                ]
            },
            "etcd": {
                "expiry": "175200h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth",
                    "client auth"
                ]
            }
        }
    }
}

字段說明:

  • ca-config.json:可以定義多個Profiles,分別指定不同的過期時間、使用場景等參數;後續在簽名證書的時候使用某個Profile。這裏定義了兩個Profile,一個用於kubernetes,一個用於etcd。但因為這篇文檔不涉及到kubernetes的配置,所以kubenretes段是不使用的。
  • signing:表示該證書可用於簽名其他證書;生成的ca.pem證書中CA=TRUE
  • server auth:表示client可以使用該ca對server提供的證書進行驗證
  • client auth:表示server可以用該ca對client提供的證書進行驗證

ca-csr.json配置如下:

{
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Wuhan",
            "ST": "Hubei",
            "O": "k8s",
            "OU": "System"
        }
    ]
}

生成ca證書:

cfssl gencert --initca ca-csr.json | cfssljson --bare ca

執行後會生成三個文件:

  • ca-key.pem : CA的私有key
  • ca.pem : CA證書
  • ca.csr : CA的證書請求文件

生成etcd服務端證書

etcd服務端證書用於加密etcd集群之間的通信

etcd-csr.json文件內容如下:

{
  "CN": "etcd-server",
  "hosts": [
    "localhost",
    "0.0.0.0",
    "127.0.0.1",
    "10.5.12.16",
    "10.5.12.17",
    "10.5.12.18"
  ],
  "key": {
    "algo": "rsa",
    "size": 4096
  },
  "names": [
    {
      "C": "CN",
      "L": "Wuhan",
      "O": "k8s",
      "OU": "System",
      "ST": "Hubei"
    }
  ]
}

生成etcd服務端證書:

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=etcd etcd-csr.json | cfssljson -bare etcd

生成三個文件:etcd.pem, etcd-key.pem, etcd.csr

生成etcd客戶端證書

etcd客戶端證書用於etcd客戶端連接etcd時提供驗證方式

etcd-client-csr.json

{
  "CN": "etcd-client",
  "hosts": [
    ""
  ],
  "key": {
    "algo": "rsa",
    "size": 4096
  },
  "names": [
    {
      "C": "CN",
      "L": "Wuhan",
      "ST": "Hubei",
      "O": "k8s",
      "OU": "System"
    }
  ]
}

生成客戶端證書:

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=etcd etcd-client-csr.json | cfssljson -bare etcd-client

生成三個文件:etcd-client.pem, etcd-client-key.pem, etcd-client.csr

最佳實踐: 在實際生產中,為了簡化etcd的管理,我們通常不會為服務端和客戶端各生成一套證書,而是生成一套即可以用於服務端也可以同時用於客戶端的證書。在我們上面生成etcd的ca證書的時候,可以看到etcd-ca-config.json中etcd的證書useags中同時有server auth和client auth。也就是說,基於我們的ca證書生成的etcd證書本身就可以同時用於服務端與客戶端。然而,我們在生成etcd服務端證書的時候,在etcd-server-csr.json中指定了hosts,所以該證書只能被指定的hosts列表中的主機使用,要想所有的客戶端都能使用這個證書。最簡單的方法就是和生成etcd客戶端證書時一樣,直接將hosts留空。反過來,也就是說,我們可以直接將生成的etcd客戶端證書用於服務端。

修改etcd集群配置文件

修改後的/opt/kubernetes/cfg/etcd.conf文件內容如下:

ETCD_NAME=etcd1
ETCD_DATA_DIR="/data/etcd"
ETCD_LISTEN_CLIENT_URLS="http://10.5.12.16:2379,http://127.0.0.1:2379"
ETCD_LISTEN_PEER_URLS="http://10.5.12.16:2380"
ETCD_INITIAL_ADVERTISE_PEER_URLS="http://10.5.12.16:2380"
ETCD_INITIAL_CLUSTER="etcd1=http://10.5.12.16:2380,etcd2=http://10.5.12.17:2380,etcd3=http://10.5.12.18:2380"
ETCD_INITIAL_CLUSTER_STATE="new"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_ADVERTISE_CLIENT_URLS="http://10.5.12.16:2379"
CLIENT_CERT_AUTH="true"
ETCD_CA_FILE="/opt/kubernetes/ssl/ca.pem"
ETCD_CERT_FILE="/opt/kubernetes/ssl/etcd.pem"
ETCD_KEY_FILE="/opt/kubernetes/ssl/etcd-key.pem"
PEER_CLIENT_CERT_AUTH="true"
ETCD_PEER_CA_FILE="/opt/kubernetes/ssl/ca.pem"
ETCD_PEER_CERT_FILE="/opt/kubernetes/ssl/etcd.pem"
ETCD_PEER_KEY_FILE="/opt/kubernetes/ssl/etcd-key.pem"

重啟etcd集群

systemctl restart etcd

驗證集群健康情況

驗證集群健康狀態時,需要使用客戶端證書來連接etcd集群:

etcdctl --cert-file=/opt/kubernetes/ssl/etcd-client.pem  --key-file=/opt/kubernetes/ssl/etcd-client-key.pem --ca-file=/opt/kubernetes/ssl/ca.pem --endpoints=https://10.5.12.16:2379,https://10.5.12.17:2379,https://10.5.12.18:2379 member list

etcd啟用https服務

相關推薦

etcd啟用https服務

ini 私有 fig 直接 amd 簽名 啟用 ID 12.1 [toc] 關於etcd的集群配置可直接參考etcd集群部署 這篇文檔只是在其基礎上增加ssl加密驗證的過程。 要讓集群使用ssl,首先需要為集群生成ssl證書。 我們使用cfssl系列工具來生成相關證書。 c

架設證書服務器 及 讓IIS啟用HTTPS服務

多條 按鈕 提交 錯誤頁 發送 默認 知識庫 http 搭建 2012點擊下鏈接 windows server2012之部署HTTPS安全站點 無廢話圖文教程,教你一步一步搭建CA服務器,以及讓IIS啟用HTTPS服務。 一、架設證書服務器(CA服務)1.在系統控制面板

Eureka Server啟用 https服務指北

文章共 591字,閱讀大約需要 2分鐘 ! 概 述 在我的前文《Eureka Server 開啟Spring Security Basic認證》中已經給 Eureka Server 開啟了最基本的鑑權措施,本文則讓 HTTPS加持於 Eureka Server,讓安全措施來的更徹底一點。 注: 本文

windows server 2003搭建CA服務器並啟用https(SSL)

如何 caf 想要 ca證書 數據 什麽 控制面板 cert 圖片 本文簡單講解在Windows server 2003上如何搭建CA服務,並啟用SSL。廢話不多說,直接開始搭建環境。想要知道證書服務器CA是怎麽一回事,或想要知道SSL原理的朋友,請自行百度,說的非常清楚一

Centos7下配置phpMyAdmin(提供HTTPS服務)

phpmyadmin https httpd Centos7下配置phpMyAdmin(提供HTTPS服務)phpMyAdmin可以通過web方式控制和操作MySQL數據庫。通過phpMyAdmin 可以完全對數據庫進行操作,例如建立、復制和刪除數據等等。配置環境Centos7 2臺(IP1:19

如何將https服務所在主機進行nginx配置,完成路由

key upstream com 自己 端口號 -h nginx服務器 ima x-real-ip 如何將https服務所在主機進行nginx配置,完成路由。如以我自己曾今的部署環境為例。 第一步:將安全證書上傳至nginx服務器。如當前路徑下/app/opt

centos6.8+nginx搭建簡單的https服務

centos nginx 搭建簡單 這裏nginx搭建https服務器,必須幾個要求,第一有安裝openssl-devel,當然這個沒有貌似編譯添加ssl模塊會出錯。那如果編譯有不會的可以參考我前面的博客,當然baidu和google上資料也很多。1、確認nginx服務器能正常運行

Spring Boot同時開啟HTTP和HTTPS服務

官方 keystore ati port 代碼 iop tap oid col 由於Spring Boot中通過編碼開啟HTTPS服務比較復雜,所以官方推薦通過編碼開啟HTTP服務,而通過配置開啟HTTPS服務。 Spring Boot的application.ym

Nginx配置阿裏雲https服務

nginx https 博客原地址 #https訪問 server { listen 443; server_name www.baidu.com; root /var/www/html; index index.php index.html index.htm; s

[net]ftp ssh http telnet https服務及端口

查看 tiny 計算 file mon 安全 接口 symantec tro 轉自:http://blog.csdn.net/qq_34642668/article/details/52116490 FTP服務器,則是在互聯網上提供存儲空間的計算機,它們依照FTP協議提供

nginx啟用https

con 路徑 51cto service process -o 如果 system image 接著上一篇,安裝完Nginx之後,啟用https 1.打開https://freessl.org, 在輸入框中填寫你的域名,創建免費的證書 按要求輸入郵箱地址,然後點擊“點擊生成

Windows Server 2008 R2 如何啟用WINS服務

分享 oss gis .com watermark 啟用 ges water ffffff Windows Server 2008 R2啟用不了WINS功能?啟用Remote Registry這個服務。 Windows Server 2008 R2 如何啟用WINS服務

.Net Core和jexus配置HTTPS服務

spa log文件 https 個人 line fig rap 方式 phy 花了幾天時間,看了好多篇博客,終於搞定了網站的HTTPS服務,借此寫篇博客,來讓有需要的朋友少走彎路。 一、環境介紹   1、Linux下在Docker容器中部署好了一個網站,該網站需要通過外部提

如何啟用httpd服務

啟用http服務第一步:要確定你的防火墻是關閉的 沒有關可以手動關閉,執行命令如下圖第二步:啟動apache服務第三步:使用命令netstat -ntlp 來查看一下80端口是否已監聽,以及監聽80端口的事什麽服務,如下圖,LISTEN代表已監聽,是httpd在監聽第四步:我們可以寫一個頁面內容,嘗試訪問,來

基於httpd-2.2和httpd-2.4配置虛擬主機web站點,並提供https服務(一)

基於主機名的虛擬主機服務 使用httpd-2.2和httpd-2.4實現> 1.建立httpd服務,要求:> 1) 提供兩個基於名稱的虛擬主機www1, www2;要求每個虛擬主機都有單獨的錯誤日誌和訪問日誌; > 2) 通過www1的/server-status提供狀態信息,且僅允許172

基於httpd-2.2和httpd-2.4配置虛擬主機web站點,並提供https服務(二)

基於主機名配置虛擬主機web站點 使用httpd-2.2和httpd-2.4實現> 1.建立httpd服務,要求:> 1) 提供兩個基於名稱的虛擬主機www1, www2;要求每個虛擬主機都有單獨的錯誤日誌和訪問日誌; > 2) 通過www1的/server-status提供狀態信息,且僅允

基於httpd-2.4配置虛擬主機web站點,並提供https服務(二)

基於主機名配置虛擬主機web站點 為虛擬主機站點提供https服務 使用httpd-2.2和httpd-2.4實現> 1.建立httpd服務,要求:> 1) 提供兩個基於名稱的虛擬主機www1, www2;要求每個虛擬主機都有單獨的錯誤日誌和訪問日誌; > 2) 通過www1的/s

基於httpd-2.2配置虛擬主機web站點,並提供https服務(一)

基於主機名的虛擬主機配置 為虛擬主機提供https服務 使用httpd-2.2和httpd-2.4實現> 1.建立httpd服務,要求:> 1) 提供兩個基於名稱的虛擬主機www1, www2;要求每個虛擬主機都有單獨的錯誤日誌和訪問日誌; > 2) 通過www1的/server-

為web站點提供https服務的步驟

https服務的提供https實現:httpd利用https協議通過證書安全加密,使得資源進行加密傳輸 //SSL會話是基於IP地址所構建的,所以單IP地址的服務器,僅可以創建一個基於https的虛擬主機 創建私有CA:OpenSS

【小程序】搭建本地https服務器(windows)

inf link title windows logs ews 事業部 巴巴 SM (一)用json-server搭建簡單的服務器 (搭建出來的服務器地址為localhonst:3000) 1.新建Mockjson文件夾,進入該文件夾目錄,運行命令