Kubernetes安裝之證書驗證
Kubernentes中的身份驗證
kubernetes 系統的各元件需要使用 TLS 證書對通訊進行加密,本文件使用 CloudFlare 的
PKI 工具集 cfssl 來生成 Certificate Authority (CA) 和其它證書;
生成的 CA 證書和祕鑰檔案如下:
- ca-key.pem
- ca.pem
- kubernetes-key.pem
- kubernetes.pem
- kube-proxy.pem
- kube-proxy-key.pem
- admin.pem
- admin-key.pem
使用證書的元件如下:
- etcd:使用 ca.pem、kubernetes-key.pem、kubernetes.pem;
- kube-apiserver:使用 ca.pem、kubernetes-key.pem、kubernetes.pem;
- kubelet:使用 ca.pem;
- kube-proxy:使用 ca.pem、kube-proxy-key.pem、kube-proxy.pem;
- kubectl:使用 ca.pem、admin-key.pem、admin.pem;
kube-controller、kube-scheduler 當前需要和 kube-apiserver 部署在同一臺機器上且使用非安全埠通訊,故不需要證書。
安裝 CFSSL
方式一:直接使用二進位制原始碼包安裝
$ wget https 方式二:使用go命令安裝
我們的系統中安裝了Go1.7.5,使用以下命令安裝更快捷:
$goget-u github.com/cloudflare/cfssl/cmd/...$echo$GOPATH/usr/local$ls/usr/local/bin/cfssl*
cfssl cfssl-bundle cfssl-certinfo cfssljson cfssl-newkey cfssl-scan
在$GOPATH/bin目錄下得到以cfssl開頭的幾個命令。
建立 CA 配置檔案
$ mkdir /root/ssl
$ cd/root/ssl
$ cfssl print-defaults config > config.json
$ cfssl print-defaults csr > csr.json
$ cat ca-config.json
{"signing":{"default":{"expiry":"8760h"},"profiles":{"kubernetes":{"usages":["signing","key encipherment","server auth","client auth"],"expiry":"8760h"}}}}欄位說明
ca-config.json:可以定義多個 profiles,分別指定不同的過期時間、使用場景等引數;後續在簽名證書時使用某個 profile;signing:表示該證書可用於簽名其它證書;生成的 ca.pem 證書中CA=TRUE;server auth:表示client可以用該 CA 對server提供的證書進行驗證;client auth:表示server可以用該CA對client提供的證書進行驗證;
建立 CA 證書籤名請求
$ cat ca-csr.json
{"CN":"kubernetes","key":{"algo":"rsa","size":2048},"names":[{"C":"CN","ST":"BeiJing","L":"BeiJing","O":"k8s","OU":"System"}]}- “CN”:
Common Name,kube-apiserver 從證書中提取該欄位作為請求的使用者名稱 (User Name);瀏覽器使用該欄位驗證網站是否合法; - “O”:
Organization,kube-apiserver 從證書中提取該欄位作為請求使用者所屬的組 (Group);
生成 CA 證書和私鑰
$ cfssl gencert -initca ca-csr.json | cfssljson -bare ca
$ ls ca*
ca-config.json ca.csr ca-csr.json ca-key.pem ca.pem建立 Kubernetes 證書
建立 kubernetes 證書籤名請求
$ cat kubernetes-csr.json
{"CN":"kubernetes","hosts":["127.0.0.1","172.20.0.112","172.20.0.113","172.20.0.114","172.20.0.115","10.254.0.1","kubernetes","kubernetes.default","kubernetes.default.svc","kubernetes.default.svc.cluster","kubernetes.default.svc.cluster.local"],"key":{"algo":"rsa","size":2048},"names":[{"C":"CN","ST":"BeiJing","L":"BeiJing","O":"k8s","OU":"System"}]}- 如果 hosts 欄位不為空則需要指定授權使用該證書的 IP 或域名列表,由於該證書後續被
etcd叢集和kubernetes master叢集使用,所以上面分別指定了etcd叢集、kubernetes master叢集的主機 IP 和kubernetes服務的服務 IP(一般是kue-apiserver指定的service-cluster-ip-range網段的第一個IP,如 10.254.0.1。
生成 kubernetes 證書和私鑰
$ cfssl gencert
相關推薦
Kubernetes安裝之證書驗證_Kubernetes中文社群
前言
Kubernentes中的身份驗證
kubernetes 系統的各元件需要使用 TLS 證書對通訊進行加密,本文件使用 CloudFlare 的 PKI 工具集 cfssl 來生成 Certificate Authority (CA) 和其它證書;
生成的 CA 證書和祕鑰檔案如下:
Kubernetes安裝之證書驗證
Kubernentes中的身份驗證
kubernetes 系統的各元件需要使用 TLS 證書對通訊進行加密,本文件使用 CloudFlare 的
PKI 工具集 cfssl 來生成 Certificate Authority (CA) 和其它證書;
生成的 CA 證書和祕鑰檔案如下:
kubernetes部署之創建TLS證書(2)
efault control sage 啟用 簽名證書 sched amd .json 進行 研究過kubernetes的同事們都知道,kubernetes如果需要啟用TLS認證,那麽制作證書是必不可少的一步。然而,很多人在制作證書上遇到了很多的麻煩。今天主要記錄一次我在部
gitlab cicd (四)系列之安裝git-runner kubernetes安裝方式
本編部落格是繼gitlab cicd (三)系列之安裝git-runner docker安裝方式安裝方式之後另一種安裝gitlab-runner的安裝方式—kubernetes安裝方式
kubernetes叢集的安裝 請參考kubernetes v1.11.0 從程式碼編譯到部署文件
輕鬆把玩HttpClient之配置ssl,採用繞過證書驗證實現https
上篇文章說道httpclient不能直接訪問https的資源,這次就來模擬一下環境,然後配置https測試一下。在前面的文章中,分享了一篇自己生成並在tomcat中配置ssl的文章《Tomcat配置SSL》,大家可以據此來在本地配置https。我已經配置好了,效果是這樣滴:
CentOS7環境安裝Kubernetes四部曲之二:配置模板和安裝master
本文是《CentOS7環境安裝Kubernetes四部曲》系列的第二篇,前一篇《CentOS7環境安裝Kubernetes三部曲:標準化機器準備》我們把機器準備好了,並且做了必要的設定,現在我們用這些機器來接著安裝kubernetes;
安裝rancher
獲取數字證書相關資訊,證書鏈有效性驗證,RSA加密和解密功能之證書鏈有效性驗證
/**
* 證書有效性驗證,後臺將證書鏈以byte[]陣列集合的形式傳入
* @param certChain 後臺傳入的證書鏈
* @param cert2Verify 本地需要驗證的證書
* @return
*/
public int
Python3之關閉SSL證書驗證
報錯資訊:
Traceback (most recent call last):
File "D:\Python36\lib\site-packages\urllib3\contrib\pyope
OpenVPN安裝、配置及使用詳解,證書驗證、使用者密碼驗證、手機連線配置。
搞了一天安裝過程中不是很順利,部分文章說明的不是太詳細,因此結合多個文章撰寫的此文,希望能幫上使用OpenVpn的兄弟們。一、OpenVPN
OpenVPN是一個用於建立虛擬專用網路(Virtual Private Network)加密通道的免費開源軟體。使用Op
CentOS7環境安裝Kubernetes四部曲之四:安裝kubectl工具
本文是《CentOS7環境安裝Kubernetes四部曲》系列的終篇,經歷了前三篇文章的實戰,我們用rancher搭建了具備master和node的完整K8S環境,但是目前還不能通過kubectl工具在K8S環境做更多的操作,本章我們來實戰安裝和配置kubect
kubernetes系列之十八:使用helm安裝istio
一、前言
istio是Kubernetes平臺微服務管理的框架標準,是Service Mesh在Kubernetes平臺的標準實現。相比於其它的微服務框架,istio提供非程式碼介入的框架機制,使用sidecar機制將微服務的服務面和管理面連線起來,而且使用的sidecar
【Kubernetes社群之路】Bazel安裝
建議跟據官方指導文件(https://docs.bazel.build/install.html)進行安裝Bazel。像其他開源工
VS2015 Enterprise 安裝之驚險及收獲
是什麽 就會 樂意 src 過程 32位 arch 收獲 運用 前言
園子早早的就有人安裝了VS 2015,自己也按捺不住了,也要趕快嘗嘗鮮!結果在其安裝過程中一個小小的問題卻困擾了我一天,這其中多虧了dudu耐心的解答才得以順利完成,如果你也遇見這個問題,看過這篇文章後你
yum安裝之-安裝mysql--技術支持TPshop商城
mbo 端口 pts 啟動項 下載 依賴 所有者 環境 解決 ## 源碼 編譯安裝 Mysql 以 mysql-5.7.15.tar.gz 為例 安裝中涉及的幾點需要提前說明的問題: 所有下載的文件將保存在 /root 目錄下 mysql 將以
安裝SSL證書對網站的重要性
ssl 2017 年 1 月起,谷歌瀏覽器開始把采用HTTP協議的網站標記為“不安全”網站。而早在 2014
年,谷歌就宣布他們將HTTPS/SSL納入其搜索算法機制中,采用HTTPS/SSL安全認證的網站將會被谷歌給予更多的信任,從而有利於網站在谷歌搜索結果中的排名提升。 對於全球搜索引擎服務商
mysql在linux上的安裝之二(mysql源代碼安裝)
安裝源 mat charset ucs sets big5 evel 解壓 ref
1.下載對應的mysql安裝源代碼包
地址為:http://dev.mysql.com/downloads/mysql/5.1.html
2.假設曾經安裝過則卸載無用過舊的已
11.怎樣自學Struts2之Struts2驗證[視頻]
string 技術 1.0 錯誤 utf bmi strong doctype class
11.怎樣自學Struts2之Struts2驗證[視頻] 之前寫了一篇“打算做一個視頻教程探討怎樣自學計算機相關的技術”,優酷上傳不了。僅僅好傳到百度雲上: http://pan.
spring boot 項目登錄模塊之身份驗證
ots security log space 求和 pri boot ace 數據 最近領導安排做一個微餐廳項目,需要做幾個網頁來管理數據,首先要寫一個登錄模塊,主要關註登錄成功後session中數據的存放與校驗,以及攔截器。
在網上找了挺多,找到了一篇比較簡單易懂的htt
JavaSE--【轉】網絡安全之證書、密鑰、密鑰庫等名詞解釋
detail 發的 都是 base64 request 服務器 win art ive 轉載:http://www.cnblogs.com/alanfang/p/5600449.html
那些證書相關的名詞解釋(SSL,X.509,PEM,DER,CRT,CER,KEY,
支付總結之簽名驗證
大神 partner 規則 style signed 簽名 會有 md5加密 使用
之前寫接口的時候用到了簽名驗證,生成規則如下
1.根據參數名稱,按照字典順序,升序排序2.拼接參數以及參數值,按照排序以後的key,value直接連接的方式,key和value之間不需要