2. 程式人生 > >為kubernetes手動生成證書

為kubernetes手動生成證書

阿新 發佈:2018-06-19
https pod add manager 建議 admin spa alpha tps

默認情況下kubernetes在初始化集群時,證書有效期年限為1年。手動生成證書可以避免這個問題。


  1. 拉取git代碼

git clone https://github.com/fandaye/k8s-tls.git && cd k8s-tls/

2. 編輯配置文件 `apiserver.json` 文件 hosts 部分,添加對應kubernetes master 節點 主機名及IP地址,以 `,` 號間隔。如:

{
    "CN": "kube-apiserver",
    "hosts": [
      "172.16.50.131",
      "172.16.50.132",
      "172.16.50.104",
      "k8s01",
      "k8s02",
      "k8s03",
      "10.96.0.1",
      "kubernetes",
      "kubernetes.default",
      "kubernetes.default.svc",
      "kubernetes.default.svc.cluster",
      "kubernetes.default.svc.cluster.local"     
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    }
}

3. 執行腳本

./run.sh


4. 生成節點admin.conf,kubelet.conf,controller-manager.conf,scheduler.conf配置文件

cd /etc/kubernetes/pki

編輯 `node.sh` 文件,ip 為當前節點ip地址,NODE 為當前節點主機名,如:

ip="172.16.50.131"
NODE="k8s01"

編輯 `kubelet.json ` 文件,CN 區域,為對應主機名,如:

"CN": "system:node:k8s01"

執行腳本

./node.sh


完成上面步驟,在初始化kubernetes集群,如果證書及配置文件存在,就會使用現有的

[certificates] Using the existing ca certificate and key.
[certificates] Using the existing apiserver certificate and key.
[certificates] Using the existing apiserver-kubelet-client certificate and key.
[certificates] Using the existing sa key.
[certificates] Using the existing front-proxy-ca certificate and key.
[certificates] Using the existing front-proxy-client certificate and key.
[certificates] Valid certificates and keys now exist in "/etc/kubernetes/pki"
[kubeconfig] Using existing up-to-date KubeConfig file: "/etc/kubernetes/admin.conf"
[kubeconfig] Using existing up-to-date KubeConfig file: "/etc/kubernetes/kubelet.conf"
[kubeconfig] Using existing up-to-date KubeConfig file: "/etc/kubernetes/controller-manager.conf"
[kubeconfig] Using existing up-to-date KubeConfig file: "/etc/kubernetes/scheduler.conf"


如果master為多個節點,拷貝/etc/kubernetes/pki 目錄下所有文件到其他master節點,參考4步驟生成admin.conf,kubelet.conf,controller-manager.conf,scheduler.conf配置文件.


master為多個節點 建議使用 --config 初始化集群,但是官網提示:Caution: The config file is still considered alpha and may change in future versions.

參考:https://kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm-init/


config.yaml 文件,參考如下:

apiVersion: kubeadm.k8s.io/v1alpha1
kind: MasterConfiguration
kubernetesVersion: v1.10.4
networking:
  podSubnet: 10.244.0.0/16
apiServerCertSANs:  #master節點主機名及ip地址
- k8s01
- k8s02
- k8s03
- 172.16.50.131
- 172.16.50.132
- 172.16.50.104
- 172.16.50.227
apiServerExtraArgs:
  endpoint-reconciler-type: "lease"
etcd:
  endpoints: # etcd集群地址
  - http://172.16.50.131:2379
  - http://172.16.50.132:2379
  - http://172.16.50.133:2379
token: "deed3a.b3542929fcbce0f0"
tokenTTL: "0"


為kubernetes手動生成證書

相關推薦

kubernetes手動生成證書

https pod add manager 建議 admin spa alpha tps 默認情況下kubernetes在初始化集群時,證書有效期年限為1年。手動生成證書可以避免這個問題。拉取git代碼git clone https://github.com/fandaye

kubernetes V1.10.4 集群部署 (手動生成證書)

nbsp namespace owin 服務器初始 row lse uber air sam 說明:本文檔涉及docker鏡像,yaml文件下載地址鏈接:https://pan.baidu.com/s/1QuVelCG43_VbHiOs04R3-Q 密碼:70q2本文只是作

第一次使用acme.sh 手動生成證書(DNS手動模式)

參考:https://github.com/Neilpang/acme.sh/wiki/How-to-issue-a-cert 這種方法官方是不推薦的,不能自動續期(即需要手動續簽) acme.sh的DNS手動模式生成證書 應該需要一個有公網ip的機器,至少我是這樣,回頭我再考證一下

mysql 表映射java bean 手動生成

uml 語句 pan ble bat 創建 不用 create 結果 ---恢復內容開始--- 在日常工作中,一般是先建表。後建類。當然也有先UML構建類與類的層級關系,直接生成表。(建模)這裏只針對先有表後有類的情況。不采用代碼生成器的情況。 例如: 原表結構: 假如這

伺服器生成證書

C:\Windows\system32>keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\tomcat.keystore -val

用opensslWEB服務器生成證書(自簽名CA證書,服務器證書

cat get web con 中文 ssg cer eap rand 用openssl為WEB服務器生成證書(自簽名CA證書,服務器證書) 來源: https://www.cnblogs.com/osnosn/p/10608455.html 來自osnosn的博客 寫於:

Hyperledger Fabric手動生成CA證書搭建Fabric網路

之前介紹了使用官方指令碼自動化啟動一個Fabric網路,並且所有的證書都是通過官方的命令列工具cryptogen直接生成網路中的所有節點的證書。在開發環境可以這麼簡單進行,但是生成環境下還是需要我們自定義對網路中的節點的證書進行配置。 所以在本文中,將會詳細介紹一個從手動生成證書一直到啟動網路的整體步驟。本文

安卓生成證書 for mac

自治區 sha256 用戶目錄 ava mac spa 目錄 不能 自簽名 1、打開終端 2、去到java安裝的根目錄,即輸入 cd /Library/Java/Home/bin/ 3、當前用戶沒有最高權限,在Library文件夾下不能生成任何文件,可以到當前用戶目錄下

利用letsencrypte生成證書時,create virtual environment失敗

letsencrypt oserror ./letsencrypt-auto certonly --standalone利用letsencrypt生成證書時 ,出現下面錯誤提示0 upgraded, 0 newly installed, 0 to remove and 6 not upgraded.

openssl 生成證書基本原理

detail 數據傳輸 它的 註釋 有一個 -i gen 所在 sig 摘自:http://blog.csdn.net/oldmtn/article/details/52208747 1. 基本原理 公司一個項目要進行交易數據傳輸,因為這個項目銀行那邊也是剛剛開始啟動,所有

使用 openssl 生成證書

安全 ssl 證書 一、openssl 簡介openssl 是目前最流行的 SSL 密碼庫工具,其提供了一個通用、健壯、功能完備的工具套件,用以支持SSL/TLS 協議的實現。官網:https://www.openssl.org/source/構成部分密碼算法庫密鑰和證書封裝管理功能SSL通信AP

linux生成證書

-c email gpo post detail .net creat -i 輸入 證書制作步驟第一步:生成server.key,輸入4位數的密碼(被強制要求)openssl genrsa -des3 -out server.key 2048 第二步:生成不帶密碼的s

用eclipse手動生成web.xml方法

圖片 web項目 image 技術分享 -o vpd oss 新建 src 用eclipse新建的javaweb項目沒有部署描述符web.xml時的解決辦法:用eclipse手動生成web.xml方法

Java生成證書工具類 InstallCert.java解決httpClient訪問https出錯:PKIX path building failed

throw supported load Owner init software roc cti acer 編譯:javac InstallCert.java運行:java InstallCert 要訪問的網址 最後面會輸出: Enter certificate to ad

使用OpenSSL生成證書並配置Https

兩種 做的 class 令行 .net 基本 我們 服務端 mage 1、密鑰、證書請求、證書概要說明 在證書申請簽發過程中,客戶端涉及到密鑰、證書請求、證書這幾個概念。我們以申請證書的流程說明三者的關系。客戶端(相對於CA)在申請證書的時候,大體上有三個步驟: 第一步:

Openssl生成證書流程

Openssl生成證書流程Openssl生成證書流程偶然想到在內網配置https,就梳理了下利用openssl與ca生成證書的過程。生成過程分為服務端跟客戶端,這裏我在一臺上測試。一.介紹CA是Certificate Authority的縮寫,也就是認證中心。CA的功能有:頒發證書,更新證書,撤銷證書和驗證證

dbms_advisor 手動生成段顧問建議!

pl/sql http viso air 指定 repair _id itl nal 執行包需要dbms_advisor權限: [sql] view plain copy sys@ORCL> grant advisor to u1; 授權成

cas單點登錄(一) 生成證書

ali ip地址 log stc java_home conn store 地址 密碼 生成 證書 實現:使用jdk自帶的keytool 工具生成證書。 命令: keytool -genkey -alias tomcat -keyalg RSA -keystore c

用eclipse創建動態web項目手動生成web.xml方法

net IT ips gravity ont size 方法 clip http 在你創建的項目上單擊右鍵,然後單擊java EE Tools下的用紅線圈住的地方,然後查看你的WEB-INF文件夾,就會發現web.xml文件就創建好了。這樣總比你重新創建項目,把之前做過的東

openssl基本原理 + 生成證書 + 使用實例

例子 概念 sta pan info create 公司 style 可能 ------轉載自 https://blog.csdn.net/oldmtn/article/details/52208747 【oldmtn】 1. 基本原理 參考:http://www.cn