Kubernetes二进制部署——证书的制作和ETCD的部署

最新推荐文章于 2023-08-02 17:23:23 发布
原创 最新推荐文章于 2023-08-02 17:23:23 发布 · 641 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#k8s #linux

本文详细介绍了如何在Kubernetes环境中使用自签SSL证书创建ETCD集群,并通过二进制部署方式进行节点配置,包括证书制作、防火墙设置和etcd服务的启动与配置。

Kubernetes二进制部署——证书的制作和ETCD的部署

一、实验环境

主机名 IP 服务
master 192.168.172.10/24 kube-apiserver kube-controller-manager kube-scheduler etcd
node1 192.168.172.20/24 etcd docker kubelet kube-proxyflannel
node2 192.168.172.30/24 etcd docker kubelet kube-proxyflannel

自签 SSL 证书

组件 使用的证书
etcd ca.pem、server.pem、server-key.pem
fiannel ca.pem、server.pem、server-key.pem
kube-apiserver ca.pem、server.pem、server-key.pem
kubelet ca.pem、ca-key.pem
kube-proxy ca.pem、kube-proxy.pem、kube-proxy-key.pem
kubectl ca.pem、admin.pem、admin-key.pem

二、ETCD集群部署

二进制部署方式

1、环境部署

更改matser主机名'
hostnamectl set-hostname master
su -


另外两台node1、2节点'
hostnamectl set-hostname node1
 su -
hostnamectl set-hostname node2
 su -

关闭防火墙及安全访问控制机制'
systemctl stop firewalld
systemctl disable firewalld.service 
setenforce 0

2、master节点

准备工作

[root@master ~]# mkdir k8s
[root@master ~]# cd k8s/
[root@master ~/k8s]# vim cfssl.sh          #此脚本用于下载证书制作工具
curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bin/cfssl
curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /usr/local/bin/cfssljson
curl -L https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o /usr/local/bin/cfssl-certinfo
chmod +x /usr/local/bin/cfssl /usr/local/bin/cfssljson /usr/local/bin/cfssl-certinfo

[root@master ~/k8s]# bash cfssl.sh           #执行该脚本

在这里插入图片描述
在这里插入图片描述

开始制作证书

[root@master ~/k8s]# mkdir etcd-cert
[root@master ~/k8s]# cd etcd-cert/
##定义ca证书
cat > ca-config.json <<EOF
{
   
   
  "signing": {
   
   
    "default": {
   
   
      "expiry": "87600h"
    },
    "profiles": {
   
   
      "www": {
   
   
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"     
        ]
      }
    }
  }
}
EOF

在这里插入图片描述

##实现证书签名
cat > ca-csr.json
最低0.47元/天 解锁文章
ubuntu16.04中k8s部署(双节点)
weixin_42473164的博客
06-04 943
1.虚拟机准备 环境:ubuntu 16.04 宿主机作为 master节点,虚拟机作为node节点 这两个 ip分别为 192.168.70.144 做master节点 192.168.70.146 做node节点 2.系统设置(masternode都要执行的) 先禁用swap sudo swapoff -a 使用 free -m 命令查看一下,如果 Swap 都为0 则禁用成功 设置交换分区开机不启动 sudo vim /etc/fstab 关闭防火墙 sudo ufw disable 禁
etcd证书
learnalwaystodie的博客
02-23 2607
wget "https://pkg.cfssl.org/R1.2/cfssl_linux-amd64" -O /usr/local/bin/cfssl wget "https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64" -O /usr/local/bin/cfssljson 1: cfssl gencert -initca ca-csr.json | cfssljson -bare ca - ca-csr.json #根请求,包括域名 国家 城市 ..
kubernetes 集群安装etcd集群,带证书
weixin_33953384的博客
09-29 352
install etcd 准备证书 https://www.kubernetes.org.cn/3096.html 在master1需要安装CFSSL工具,这将会用来建立 TLS certificates。 export CFSSL_URL="https://pkg.cfssl.org/R1.2" wget "${CFSSL_URL}/cfssl_linux-amd64" -O /u...
kubernetes 源码安装1.18.3 (1)创建etcd证书
默子昂
12-09 997
"cfssl" 是一个开源的证书管理工具,使用 "json" 文件生成证书,相比 openssl 更方便使用。 (上面的话是网上摘的,也没感觉方便在那里,两个都在用) 拉取证书工具 curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bin/cfssl curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /usr/local/bin/cfsslj..
etcd集群生成TLS证书
Niklauson的博客
08-02 988
etcd集群认证生成
精选资源
kubernetes二进制集群部署——–多master集群(步骤非常详细,适合初学者)
01-09
本文将详细介绍如何通过二进制方式部署一个多Master节点的Kubernetes集群,适合初学者逐步学习。 首先,我们要了解多Master节点集群的必要性。在单Master节点的集群中,如果Master节点出现问题,整个集群的控制平面...
Kubernetes二进制部署——Flannel网络
IHBOS的博客
06-17 1103
Kubernetes二进制部署——Flannel网络一、Flannel简介二、Flannel原理三、Flannel的作用四、Flannel 网络配置1.node 节点安装 docker2.master配置1、 写入分配的子网段到ETCD中,供flannel使用(master主机)3、node节点操作1、上传flannel软件包到所有的 node 节点并解压2、建立 K8S 工作目录并撰写 flannel.sh 服务启动脚本3、指定集群启动脚本并检查IP地址4、配置 docker 以能连接上 flannel5
kubernetesk8s二进制部署——etcd部署
weixin_51613313的博客
04-12 917
k8s一、 相关概述1.1 k8s简介1.2 k8s特性1.3 k8s群集架构与组件1.4 k8s核心概念1.5 k8s三种部署方式二、模拟实验master节点node1节点node2节点master节点 一、 相关概述 1.1 k8s简介 kubernetes,简称k8s,是Google在2014年开源的一个容器群集管理系统。 k8s用于容器化应用程序的部署,扩展管理。 k8s提供了容器编排,资源调度,弹性伸缩,部署管理,服务发现等一系列功能。 k8s的目标是让部署容器化应用简单高效。 官方网站 1
Kubernetes集群二进制部署(一)——Etcd数据库群集功能部署、flannel网络组建
ML908的博客
04-30 894
文章目录节点环境规划软件包一、部署Etcd1、制作证书① 创建工作目录② 安装制作证书的工具cfssl③ 编辑etcd证书创建的脚本④ 生成ca证书的配置文件,定义ca证书⑤ 创建ca证书的签名证书⑥ 生成证书(生成ca-key.pem密钥证书 ca.pem证书)⑦ 指定etcd三个节点之间的通信验证(需要服务器签名证书 server-csr.json)2、搭建etcd集群① master节点部署...
Kubernetes----双master节点二进制部署
Vic的博客
07-20 1856
文章目录 前言: 一、双master二进制集群分析 二、实验环境介绍 三、实验部署 3.1 搭建master2节点 3.2 nginx负载均衡部署 3.2.1 验证漂移地址 3.3 修改node节点配置文件 四、测试 4.1 在master1上进行操作 总结 前言: 本篇博客承接上篇单节点的环境添加一个master节
单线服务器双线服务器是什么意思?
weixin_58088629的博客
05-28 821
在国际数据中心行业,评估国际数据中心服务提供商的指标往往是服务器的稳定性服务器的安全性。影响这两个基本重要的指标包括服务器配置、机房骨干网宽带机房线路,而单线服务器双线服务器是指机房线路的区别。 单线服务器通常指单线通信服务器单线通信服务器,而双线服务器指的是电信网络通信的双线服务器。我们常说的BGP多线服务器,由于电信网络通信的覆盖率最高,主要是指由电信网络通信的双线组成的双线服务器。 在服务器租赁或服务器托管中,选择双线服务器有什么优势? 1.双线服务器可以有效解决南方电信北..
elasticsearch 学习之 搭建简单的elasticsearch单节点服务器
笑為紅顏苦為誰
09-17 3709
前提:jdk1.8 node版本大于6 1:下载elasticsearch 最新版 https://www.elastic.co/downloads/elasticsearch 2:下载到本地进行解压 3:由于我本地的内存有限,所以修改配置文件中的启动所需要的JVM内存(config/jvm.options) 4:启动elasticsearch 5:打开浏览
双节点文件服务器,双节点海量小文件系统的高可用技术研究
weixin_28979369的博客
08-13 410
摘要:分布式文件系统的高可用性一直是研究人员关注的热点.SMDFS继承了HDFS的高可用框架,节点数量达到三个或以上时,通过NFS或QJM机制实现集群的高可用.但是,双节点集群通过已有双机热备机制实现服务冗余时,存在单点故障服务中断等问题.在生产环境中,双节点集群具有较多应用需求,实现双节点集群的高可用性具有较高的研究价值.究其原因,双节点的SMDFS集群在不引入第三方设备时,没有很好的数据共享...
k8s双节点集群搭建详细教程
Mr.Gogh的博客
03-18 7951
title: k8s之集群搭建 category: Docker date: 2019-4-26 typora-root-url: \source_posts\img typora-copy-images-to: \source_posts\img K8S v1.13.0 集群搭建 环境 两台centos主机: Master:192.168.11.112 主机名:k8s-maste...
分析单线服务器与双线服务器有什么区别
KFGZP的博客
12-20 792
1、单线服务器 所谓的单线服务器是指只有电信或者联通一条线路接入,如电信线路、联通线路、移动线路等。对于针对地方性的网站可以选择单线线路,如企业网站的用户主要集中在南方可以选择电信服务器租用;用户集中在北方可以选择联通服务器;如果网站是针对全国用户的商城网站或者门户网站可以选择双线服务器,双线服务器能够解决南北线路不能互通的弊端,保障了各个地区的访问速度。 2、双线服务器 所谓的双线机房实际是一个...
双节点部署openstack
Stesin的博客
12-16 2549
环境配置 新建虚拟机 新建虚拟机,一直点下一步到以下界面 自定义硬件 添加网络适配器为仅主机模式 点击确定 添加硬盘 点击下一步,完成。开启虚拟机 配置网卡 安装位置 点击完成 网络主机名 两个都要打开连接,点击右下方配置 ...
部署一套完整的Kubernetes高可用集群(二进制,v1.18版)
LPFAM的博客
11-08 952
部署一套完整的Kubernetes高可用集群(二进制,v1.18版) 一、前置知识点 1.1 生产环境可部署Kubernetes集群的两种方式 目前生产部署Kubernetes集群主要有两种方式: kubeadm Kubeadm是一个K8s部署工具,提供kubeadm initkubeadm join,用于快速部署Kubernetes集群。 官方地址:https://kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm/ 二进制包 从.
K8S安装过程五:制作与生成证书
架构师实战感悟
11-28 1695
kubernetes 自签发证书创建
Kubernetes高可用集群二进制部署(Runtime Containerd)
weixin_47758895的博客
03-28 2570
Kubernetes(简称为:k8s)是Google在2014年6月开源的一个容器集群管理系统,使用Go语言开发,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效,Kubernetes提供了资源调度、部署管理、服务发现、扩容缩容、监控,维护等一整套功能,努力成为跨主机集群的自动部署、扩展以及运行应用程序容器的平台。它支持一系列容器工具, 包括Docker、Containerd等。
kubernetes1.26二进制集群部署——–多master集群
最新发布
06-26
### Kubernetes 1.26 多 Master 集群二进制部署指南 在 Kubernetes 1.26 中,使用二进制方式部署多 Master 集群是一种较为底层但灵活性更高的方法。该部署方式要求手动配置所有组件,包括 kube-apiserver、kube-controller-manager、kube-scheduler、etcd、kubelet kube-proxy 等。 #### 基础环境准备 - **操作系统**:建议使用 Ubuntu 或 CentOS,确保所有节点之间网络互通。 - **硬件要求**:每个 Master 节点至少需要 2 核 CPU 4GB 内存。 - **时间同步**:使用 `chronyd` 或 `ntpd` 同步所有节点的时间。 - **主机名解析**:在 `/etc/hosts` 文件中配置所有节点的 IP 地址主机名映射。 - **禁用交换分区**:通过 `swapoff -a` 禁用交换分区,并在 `/etc/fstab` 中注释掉 swap 挂载项。 #### 安装依赖包 在所有节点上安装必要的软件包,例如 `conntrack`、`ipset`、`iptables` 等: ```bash sudo apt-get update && sudo apt-get install -y conntrack ipset iptables ``` #### 安装 Docker Kubernetes 支持多种容器运行时,Docker 是其中一种常见选择。安装最新版本的 Docker 并设置开机自启: ```bash curl -fsSL https://get.docker.com | sh- sudo systemctl enable docker && sudo systemctl start docker ``` #### 下载并解压 Kubernetes 二进制文件 从 [Kubernetes GitHub 发布页面](https://github.com/kubernetes/kubernetes/releases) 下载所需版本的二进制文件,然后将其解压到目标目录: ```bash wget https://dl.k8s.io/v1.26.0/kubernetes-server-linux-amd64.tar.gz tar -xzvf kubernetes-server-linux-amd64.tar.gz cd kubernetes/server/bin/ sudo cp kube-apiserver kube-controller-manager kube-scheduler kubectl /usr/local/bin/ ``` #### 配置 etcd 集群 etcdKubernetes 的分布式键值存储系统,用于保存集群的所有数据。在多个节点上安装并配置 etcd 集群,确保高可用性。以下是单个节点的示例配置: ```bash ETCD_NAME="master1" ETCD_DATA_DIR="/var/lib/etcd" ETCD_LISTEN_PEER_URLS="http://192.168.1.10:2380" ETCD_LISTEN_CLIENT_URLS="http://192.168.1.10:2379,http://127.0.0.1:2379" ETCD_INITIAL_ADVERTISE_PEER_URLS="http://192.168.1.10:2380" ETCD_ADVERTISE_CLIENT_URLS="http://192.168.1.10:2379" ETCD_INITIAL_CLUSTER="master1=http://192.168.1.10:2380,master2=http://192.168.1.11:2380,master3=http://192.168.1.12:2380" ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster-1" ETCD_INITIAL_CLUSTER_STATE="new" ``` #### 配置 kube-apiserver 在每个 Master 节点上配置 kube-apiserver,指定 etcd 集群地址其他参数: ```bash KUBE_APISERVER_OPTS="--logtostderr=true --v=4 --etcd-servers=http://192.168.1.10:2379,http://192.168.1.11:2379,http://192.168.1.12:2379 --bind-address=0.0.0.0 --secure-port=6443 --advertise-address=192.168.1.10 --allow-privileged=true --service-cluster-ip-range=10.0.0.0/24 --enable-admission-plugins=NamespaceLifecycle,LimitRanger,ServiceAccount,ResourceQuota,DefaultStorageClass,DefaultTolerationSeconds,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,NodeRestriction --authorization-mode=RBAC,Node --enable-bootstrap-token-auth --token-auth-file=/etc/kubernetes/token.csv --tls-cert-file=/etc/kubernetes/pki/apiserver.crt --tls-private-key-file=/etc/kubernetes/pki/apiserver.key --client-ca-file=/etc/kubernetes/pki/ca.crt --service-account-key-file=/etc/kubernetes/pki/sa.pub --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key --requestheader-allowed-names=front-proxy-client --requestheader-extra-headers-prefix=X-Remote-Extra- --requestheader-group-headers=X-Remote-Group --enable-aggregator-routing=true" ``` #### 配置 kube-controller-manager 在每个 Master 节点上配置 kube-controller-manager,指定 master 地址其他参数: ```bash KUBE_CONTROLLER_MANAGER_OPTS="--logtostderr=true --v=4 --master=127.0.0.1:8080 --leader-elect=true --address=0.0.0.0 --cluster-name=kubernetes --cluster-signing-cert-file=/etc/kubernetes/pki/ca.crt --cluster-signing-key-file=/etc/kubernetes/pki/ca.key --service-account-private-key-file=/etc/kubernetes/pki/sa.key --root-ca-file=/etc/kubernetes/pki/ca.crt --node-cidr-mask-size=24" ``` #### 配置 kube-scheduler 在每个 Master 节点上配置 kube-scheduler,指定 master 地址其他参数: ```bash KUBE_SCHEDULER_OPTS="--logtostderr=true --v=4 --master=127.0.0.1:8080 --leader-elect=true --address=0.0.0.0" ``` #### 启动 Master 组件 创建 systemd 服务文件并启动各组件服务。以 kube-apiserver 为例: ```ini [Unit] Description=Kubernetes API Server Documentation=https://github.com/kubernetes/kubernetes [Service] ExecStart=/usr/local/bin/kube-apiserver \ --logtostderr=true \ --v=4 \ --etcd-servers=http://192.168.1.10:2379,http://192.168.1.11:2379,http://192.168.1.12:2379 \ --bind-address=0.0.0.0 \ --secure-port=6443 \ --advertise-address=192.168.1.10 \ --allow-privileged=true \ --service-cluster-ip-range=10.0.0.0/24 \ --enable-admission-plugins=NamespaceLifecycle,LimitRanger,ServiceAccount,ResourceQuota,DefaultStorageClass,DefaultTolerationSeconds,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,NodeRestriction \ --authorization-mode=RBAC,Node \ --enable-bootstrap-token-auth \ --token-auth-file=/etc/kubernetes/token.csv \ --tls-cert-file=/etc/kubernetes/pki/apiserver.crt \ --tls-private-key-file=/etc/kubernetes/pki/apiserver.key \ --client-ca-file=/etc/kubernetes/pki/ca.crt \ --service-account-key-file=/etc/kubernetes/pki/sa.pub \ --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt \ --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt \ --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key \ --requestheader-allowed-names=front-proxy-client \ --requestheader-extra-headers-prefix=X-Remote-Extra- \ --requestheader-group-headers=X-Remote-Group \ --enable-aggregator-routing=true Restart=on-failure RestartSec=5 [Install] WantedBy=multi-user.target ``` #### 配置 kubelet 在所有节点上配置 kubelet,指定 master 地址其他参数: ```bash KUBELET_OPTS="--logtostderr=true --v=4 --hostname-override=192.168.1.10 --kubeconfig=/etc/kubernetes/kubelet.conf --bootstrap-kubeconfig=/etc/kubernetes/bootstrap-kubelet.conf --config=/etc/kubernetes/config/kubelet --cgroup-driver=systemd/cgroupfs" ``` #### 配置 kube-proxy 在所有节点上配置 kube-proxy,指定 master 地址其他参数: ```bash KUBE_PROXY_OPTS="--logtostderr=true --v=4 --master=192.168.1.10:6443 --config=/etc/kubernetes/config/proxy" ``` #### 初始化集群 使用 `kops` 或手动创建 CA 证书密钥对,生成所需的 TLS 证书。之后,通过 `kubectl` 工具验证集群状态: ```bash kubectl get nodes ``` #### 高可用配置 为了实现高可用性,可以使用 Keepalived 或 HAProxy 设置虚拟 IP 地址,指向所有 Master 节点。这样客户端可以通过虚拟 IP 访问集群,而无需关心具体的 Master 节点。 #### 监控与维护 使用 Prometheus Grafana 进行监控,定期检查日志文件(如 `/var/log/kube-apiserver.log`),并确保所有组件正常运行。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值