Kubernetes證書相關(guān)(CFSSL)-創(chuàng)新互聯(lián)

Kubernetes證書相關(guān)(CFSSL)

成都創(chuàng)新互聯(lián)長(zhǎng)期為上千客戶提供的網(wǎng)站建設(shè)服務(wù),團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年,關(guān)注不同地域、不同群體,并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù);打造開放共贏平臺(tái),與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為磐石企業(yè)提供專業(yè)的成都網(wǎng)站設(shè)計(jì)、網(wǎng)站建設(shè),磐石網(wǎng)站改版等技術(shù)服務(wù)。擁有十余年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開發(fā)。

CFSSL是CloudFlare開源的一款PKI/TLS工具。 CFSSL 包含一個(gè)命令行工具 和一個(gè)用于 簽名,驗(yàn)證并且捆綁TLS證書的 HTTP API 服務(wù)。 使用Go語(yǔ)言編寫。

Github 地址:?https://github.com/cloudflare/cfssl
官網(wǎng)地址:?https://pkg.cfssl.org/
參考地址:liuzhengwei521

curl -s -L -o /bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
curl -s -L -o /bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
curl -s -L -o /bin/cfssl-certinfo https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x /bin/cfssl*

集群相關(guān)證書類型

client certificate: 用于服務(wù)端認(rèn)證客戶端,例如etcdctl、etcd proxy、fleetctl、docker客戶端
server certificate: 服務(wù)端使用,客戶端以此驗(yàn)證服務(wù)端身份,例如docker服務(wù)端、kube-apiserver
peer certificate: 雙向證書,用于etcd集群成員間通信

根據(jù)認(rèn)證對(duì)象可以將證書分成三類:服務(wù)器證書server cert,客戶端證書client cert,對(duì)等證書peer cert(表示既是server cert又是client cert),在kubernetes 集群中需要的證書種類如下:

  • etcd 節(jié)點(diǎn)需要標(biāo)識(shí)自己服務(wù)的server cert,也需要client cert與etcd集群其他節(jié)點(diǎn)交互,當(dāng)然可以分別指定2個(gè)證書,也可以使用一個(gè)對(duì)等證書
  • master 節(jié)點(diǎn)需要標(biāo)識(shí) apiserver服務(wù)的server cert,也需要client cert連接etcd集群,這里也使用一個(gè)對(duì)等證書
  • kubectl calico kube-proxy 只需要client cert,因此證書請(qǐng)求中 hosts 字段可以為空
  • kubelet證書比較特殊,不是手動(dòng)生成,它由node節(jié)點(diǎn)TLS BootStrapapiserver請(qǐng)求,由master節(jié)點(diǎn)的controller-manager 自動(dòng)簽發(fā),包含一個(gè)client cert 和一個(gè)server cert

創(chuàng)建CA配置文件

配置證書生成策略,規(guī)定CA可以頒發(fā)那種類型的證書

vim /opt/ssl/k8sca/ca-config.json
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}

創(chuàng)建CA證書簽名請(qǐng)求

vim /opt/ssl/k8sca/?ca-csr.json

{
"CN": "kubernetes",
"key": {
    "algo": "rsa",
    "size": 2048
},
"names": [
    {
        "C": "CN",
        "L": "BeiJing",
        "O": "Ctyun",
        "ST": "BeiJing",            
        "OU": "ops"
    }    ]
}

生成CA和私鑰

生成CA所必需的文件ca-key.pem(私鑰)和ca.pem(證書),還會(huì)生成ca.csr(證書簽名請(qǐng)求),用于交叉簽名或重新簽名。

$ cd /opt/ssl/k8sca/
$ cfssl gencert -initca ca-csr.json | cfssljson -bare ca
$ ls
ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn,海內(nèi)外云服務(wù)器15元起步,三天無(wú)理由+7*72小時(shí)售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì),專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

分享標(biāo)題:Kubernetes證書相關(guān)(CFSSL)-創(chuàng)新互聯(lián)
網(wǎng)站地址:http://muchs.cn/article48/cecoep.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供外貿(mào)建站、搜索引擎優(yōu)化網(wǎng)站收錄、網(wǎng)站導(dǎo)航、網(wǎng)站制作、虛擬主機(jī)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

小程序開發(fā)