AI 助理
备案控制台
开发者社区 云原生 文章 正文

suse 12 二进制部署 Kubernetets 1.19.7 - 第01章 - 创建CA证书和kubectl集群管理命令

2023-11-08 78
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: suse 12 二进制部署 Kubernetets 1.19.7 - 第01章 - 创建CA证书和kubectl集群管理命令

1、kubernetes集群部署

  • 注:若没有特别指明操作的节点,默认所有操作均在k8s-01节点中执行
  • kubernetes master 节点运行组件:etcd、kube-apiserver、kube-controller-manager、kube-scheduler
  • kubernetes node 节点运行组件:docker、flannel、kubelet、kube-proxy、coredns、dashboard
  • 因为master也当node节点使用,所以所有节点都部署了docker和flannel
1.0、创建CA证书和秘钥
  • 为确保安全,kubernetes各个组件需要使用x509证书对通信进行加密和认证
  • CA(Certificate Authority)是自签名的根证书,用来签名后续创建的其他证书
  • 使用CloudFlare的PKI工具cfssl创建所有证书
1.0.0、安装cfssl工具
k8s-01:~ # cd /opt/k8s/packages/
k8s-01:/opt/k8s/packages # wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
k8s-01:/opt/k8s/packages # wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
k8s-01:/opt/k8s/packages # wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64

k8s-01:/opt/k8s/packages # mv cfssl_linux-amd64 /opt/k8s/bin/cfssl
k8s-01:/opt/k8s/packages # mv cfssljson_linux-amd64 /opt/k8s/bin/cfssljson
k8s-01:/opt/k8s/packages # mv cfssl-certinfo_linux-amd64 /opt/k8s/bin/cfssl-certinfo
k8s-01:/opt/k8s/packages # chmod +x /opt/k8s/bin/*

1.0.1、创建根证书

k8s-01:~ # cd /opt/k8s/ssl/
k8s-01:/opt/k8s/ssl # cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "876000h"
      }
    }
  }
}
EOF
  • signing 表示该证书可用于签名其它证书,生成的ca.pem证书找中CA=TRUE
  • server auth 表示client可以用该证书对server提供的证书进行验证
  • client auth 表示server可以用该证书对client提供的证书进行验证
1.0.2、创建证书签名请求文件
k8s-01:/opt/k8s/ssl # cat > ca-csr.json <<EOF
{
  "CN": "kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "ShangHai",
      "L": "ShangHai",
      "O": "k8s",
      "OU": "bandian"
    }
  ],
  "ca": {
    "expiry": "876000h"
 }
}
EOF
  • CN:CommonNamekube-apiserver从证书中提取该字段作为请求的用户名(User Name),浏览器使用该字段验证网站是否合法
  • O :Organizationkube-apiserver从证书中提取该字段作为请求的用户和所属组(Group)
  • kube-apiserver将提取的UserGroup作为RBAC授权用户和标识
1.0.3、生成CA证书和秘钥
k8s-01:/opt/k8s/ssl # cfssl gencert -initca ca-csr.json | cfssljson -bare ca

1.0.4、分发CA证书到所有节点

#!/usr/bin/env bash
source /opt/k8s/bin/k8s-env.sh
for host in ${NODE_IPS[@]}
do
    printf "\e[1;34m${host}\e[0m\n"
    scp /opt/k8s/ssl/{ca*.pem,ca-config.json} ${host}:/etc/kubernetes/cert
done
1.1、部署kubectl命令
  • kubectl默认从~/.kube/config读取kube-apiserver地址和认证信息
"kubernetes二进制包的github网址,包含了kubernetes-1.9到kubernetes-1.21所有版本"
https://github.com/kubernetes/kubernetes/tree/master/CHANGELOG
"将下载好的包,上传到k8s-01的/opt/k8s/packages目录下,解压即可"

k8s-01:~ # cd /opt/k8s/packages/
k8s-01:/opt/k8s/packages # tar xf kubernetes-server-linux-amd64.tar.gz

1.1.0、分发kubectl命令到所有节点

#!/usr/bin/env bash
source /opt/k8s/bin/k8s-env.sh
for host in ${NODE_IPS[@]}
do
    printf "\e[1;34m${host}\e[0m\n"
    scp /opt/k8s/packages/kubernetes/server/bin/kubectl ${host}:/opt/k8s/bin
    ssh root@${host} "kubectl completion bash > /etc/bash_completion.d/kubectl"
done

kubectl completion bash > /etc/bash_completion.d/kubectl 配置kubectl命令自动补全,依赖bash-completion,如果没有,需要先安装bash-completion(suse一般都自带,centos发行版需要执行yum -y install bash-completion)

1.1.1、创建admin证书和秘钥
  • kubectl作为集群的管理工具,需要被授予最高权限,这里创建具有最高权限的admin证书
  • kubectlapiserver进行https通信apiserver对提供的证书进行认证授权
k8s-01:~ # cd /opt/k8s/ssl/
k8s-01:/opt/k8s/ssl # cat > admin-csr.json <<EOF
{
  "CN": "admin",
  "hosts": [
  ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "ShangHai",
      "L": "ShangHai",
      "O": "system:masters",
      "OU": "bandian"
    }
  ]
}
EOF
  • O 为system:masters,kube-apiserver收到该证书后将请求的Group设置为system:masters
  • 预定的ClusterRoleBinding cluster-admin将Group system:masters与Role cluster-admin绑定,该Role授予API的权限
  • 该证书只有被kubectl当做client证书使用,所以hosts字段为空
1.1.2、生成admin证书和秘钥
k8s-01:/opt/k8s/ssl # cfssl gencert -ca=/opt/k8s/ssl/ca.pem \
-ca-key=/opt/k8s/ssl/ca-key.pem \
-config=/opt/k8s/ssl/ca-config.json \
-profile=kubernetes admin-csr.json | cfssljson -bare admin
1.1.3、创建kubeconfig文件
k8s-01:/opt/k8s/ssl # source /opt/k8s/bin/k8s-env.sh
"设置集群参数"
k8s-01:/opt/k8s/ssl # kubectl config set-cluster kubernetes \
--certificate-authority=/opt/k8s/ssl/ca.pem \
--embed-certs=true \
--server=${KUBE_APISERVER} \
--kubeconfig=kubectl.kubeconfig

"设置客户端认证参数"
k8s-01:/opt/k8s/ssl # kubectl config set-credentials admin \
--client-certificate=/opt/k8s/ssl/admin.pem \
--client-key=/opt/k8s/ssl/admin-key.pem \
--embed-certs=true \
--kubeconfig=kubectl.kubeconfig

"设置上下文参数"
k8s-01:/opt/k8s/ssl # kubectl config set-context kubernetes \
--cluster=kubernetes \
--user=admin \
--kubeconfig=kubectl.kubeconfig

"设置默认上下文"
k8s-01:/opt/k8s/ssl # kubectl config use-context kubernetes --kubeconfig=kubectl.kubeconfig
  • --certificate-authority 验证kube-apiserver证书的根证书
  • --client-certificate--client-key 刚生成的admin证书和私钥,连接kube-apiserver时使用
  • --embed-certs=true 将ca.pem和admin.pem证书嵌入到生成的kubectl.kubeconfig文件中 (如果不加入,写入的是证书文件路径,后续拷贝kubeconfig到其它机器时,还需要单独拷贝证书)
1.1.4、分发kubeconfig文件
  • 分发到使用kubectl命令的节点(一般在master上管理)
#!/usr/bin/env bash
source /opt/k8s/bin/k8s-env.sh
for host in ${MASTER_IPS[@]}
do
    printf "\e[1;34m${host}\e[0m\n"
    ssh root@${host} "mkdir ~/.kube"
    scp /opt/k8s/ssl/kubectl.kubeconfig ${host}:~/.kube/config
done


文章标签:
容器服务Kubernetes版
Linux
容器
Kubernetes
Docker
Shell
相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
chen2ha
目录
相关文章
chen2ha
|
Linux Perl
suse 12 二进制部署 Kubernetets 1.19.7 - 第12章 - 部署dashboard插件
suse 12 二进制部署 Kubernetets 1.19.7 - 第12章 - 部署dashboard插件
chen2ha
48 0
didiplus
|
8月前
|
Kubernetes 应用服务中间件 网络安全
CentOS7上二进制部署Kubernetes高可用集群(v1.18版本)
CentOS7上二进制部署Kubernetes高可用集群(v1.18版本)
didiplus
427 0
久绊A
|
8月前
|
Kubernetes 虚拟化 开发者
Win环境中 Minikube 创建 Kubernetes 集群
Minikube 提供了一个方便的方式,在本地计算机上快速搭建一个小型的 Kubernetes 集群。这个集群是一个单节点的 Kubernetes 集群,包括主节点(control plane)和工作节点(node),运行在虚拟机中。
久绊A
94 1
程序员欣宸
|
Kubernetes Linux 程序员
在windows电脑上配置kubectl远程操作kubernetes
在windows电脑上配置kubectl远程操作kubernetes的实战
程序员欣宸
343 0
在windows电脑上配置kubectl远程操作kubernetes
程序员小侯
|
Kubernetes Ubuntu 应用服务中间件
使用Vagrant创建和管理本地Kubernetes(K8s)集群的步骤是什么
VirtualBox: 用于虚拟机管理。 Vagrant: 用于创建和配置虚拟机环境。 kubectl: Kubernetes命令行工具,用于管理Kubernetes集群。
程序员小侯
238 0
chen2ha
|
存储 Kubernetes 固态存储
suse 12 二进制部署 Kubernetets 1.19.7 - 第02章 - 部署etcd集群
suse 12 二进制部署 Kubernetets 1.19.7 - 第02章 - 部署etcd集群
chen2ha
71 0
chen2ha
|
Kubernetes 前端开发 安全
suse 12 二进制部署 Kubernetets 1.19.7 - 第06章 - 部署kube-apiserver组件
suse 12 二进制部署 Kubernetets 1.19.7 - 第06章 - 部署kube-apiserver组件
chen2ha
70 0
chen2ha
|
Kubernetes 前端开发 安全
suse 12 二进制部署 Kubernetets 1.19.7 - 第09章 - 部署kubelet组件
suse 12 二进制部署 Kubernetets 1.19.7 - 第09章 - 部署kubelet组件
chen2ha
58 0
chen2ha
|
Linux
suse 12 二进制部署 Kubernetets 1.19.7 - 第11章 - 部署coredns组件
suse 12 二进制部署 Kubernetets 1.19.7 - 第11章 - 部署coredns组件
chen2ha
79 0
chen2ha
|
负载均衡 Linux
suse 12 二进制部署 Kubernetets 1.19.7 - 第10章 - 部署kube-proxy组件
suse 12 二进制部署 Kubernetets 1.19.7 - 第10章 - 部署kube-proxy组件
chen2ha
53 0