kubernetes(K8S)创建自签TLS证书

最新推荐文章于 2025-04-03 15:59:03 发布
最新推荐文章于 2025-04-03 15:59:03 发布
阅读量1.3k 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: json
原文链接:http://www.cnblogs.com/aresxin/p/K8S-TLS.html

TLS证书用于进行通信使用,组件需要证书关系如下:

组件需要使用的证书
etcdca.pem server.pem server-key.pem
flannelca.pem server.pem server-key.pem
kube-apiserverca.pem server.pem server-key.pem
kubeletca.pem ca-key.pem
kube-proxyca.pem kube-proxy.pem kube-proxy-key.pem
kubectlca.pem admin.pem admin-key.pem

安装证书生成证书工具cfssl

均在master节点执行。

# wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
# wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
# wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
# chmod +x cfssl*
# cp cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo
# cp cfssljson_linux-amd64 /usr/local/bin/cfssljson
# cp cfssl_linux-amd64 /usr/local/bin/cfssl

创建生成证书脚本

# more cert.sh 
#生成ca-config.json证书
cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}
EOF

#生成ca-csr.json文件
cat > ca-csr.json <<EOF
{
    "CN": "kubernetes",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Beijing",
            "ST": "Beijing",
            "O": "k8s",
            "OU": "System"
        }
    ]
}
EOF

#生成ca-key.pem ca.pem
cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

#-----------------------

#生成server-csr.json文件
cat > server-csr.json <<EOF
{
    "CN": "kubernetes",
    "hosts": [
      "127.0.0.1",
      "172.17.0.218",
      "172.17.0.219",
      "172.17.0.219",
      "kubernetes",
      "kubernetes.default",
      "kubernetes.default.svc",
      "kubernetes.default.svc.cluster",
      "kubernetes.default.svc.cluster.local"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing",
            "O": "k8s",
            "OU": "System"
        }
    ]
}
EOF

#生成server.pem,server-key.pem
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes server-csr.json | cfssljson -bare server

#-----------------------

#生成admin-csr.json文件
cat > admin-csr.json <<EOF
{
  "CN": "admin",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing",
      "O": "system:masters",
      "OU": "System"
    }
  ]
}
EOF

#最后生成admin证书---admin-key.pem ,admin.pem
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin

#-----------------------

#生成代理
cat > kube-proxy-csr.json <<EOF
{
  "CN": "system:kube-proxy",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}
EOF

#生成代理证书kube-proxy-key.pem , kube-proxy.pem
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy
# sh cert.sh
//查看生成的证书
# ls | grep pem
admin-key.pem
admin.pem
ca-key.pem
ca.pem
kube-proxy-key.pem
kube-proxy.pem
server-key.pem
server.pem

至此,kubernetes(K8S)创建自签TLS证书完成。

转载请添加出处:https://www.cnblogs.com/aresxin

转载于:https://www.cnblogs.com/aresxin/p/K8S-TLS.html

aiduo4911
关注
K8S应用笔记 —— 发自证书用于Ingress的https配置
gmHappy
08-18 3万+
在本地发自命名证书,用于`K8S`集群的`Ingress`的https配置。
k8s自定义证书
yxy364792412的博客
09-26 263
k8s ingress证书 kubectl create secret tls demo.brain.lenovo.com --cert=demo.cert --key=demo.key -n catl 自定义的证书需要配host vim /etc/hosts xxx demo.brain.lenovo.com 服务器证书 cenos 7 cat ailabca-chain.cert >> /etc/pki/tls/certs/ca-bundle.crt 如果CAfile被修改
k8s证书
qq_42502583的博客
03-29 2656
k8s证书 通过使用cert-manager来管理证书 cert-manager将确保证书有效并且是最新的,并在到期前尝试在配置的时间续订证书 part1.安装CustomResourceDefinitions和cert-manager本身: ╭─[18:04:19] yup@YP-7-15 ~ ╰─$ kubectl apply -f https://github.com/jetstack/cert-manager/releases/download/v1.2.0/cert-manager.yaml
k8s中使用cert-manager生成自证书
mengting2040的博客
07-08 564
k8s中使用cert-manager生成自证书
【3】搭建k8s集群系列(二进制部署)之安装docker和k8s证书
最新发布
weixin_43063624的博客
04-03 339
这里使用 Docker 作为容器引擎,也可以换成别的,例如 containerd下载地址:https://download.docker.com/linux/static/stable/x86_64/docker-以下在所有节点操作。这里采用二进制安装,用 yum 安装也一样。
二进制部署K8s集群:(2) 设定自证书
阿蔡的博客
10-14 887
设定自证书,证书生成工具有很多,如openssl,这里使用cfssl证书生成工具。 cfssl是一个开源的证书管理工具,使用json文件生成证书,相比openssl更方便使用,找任意一台主机操作即可,这里在master节点操作。 一、安装CFSSL 由于CFSSL系列的工具都是独立的二进制文件,所以下载相应的二进制文件并赋予权限即可。 [root@master1 cert]# wget -c https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 [root@mast
K8S使用Ingress 中 TLS 证书的集中配置与管理
IT程序员分享文章-宇哥网络科技
01-20 620
Kubernetes 集群的 Ingress 资源管理中,合理配置 TLS 证书对于保障服务的安全访问至关重要。当存在多个命名空间下的 Ingress 资源时,如何高效、集中地管理 TLS 证书成为一个关键问题。本文将探讨几种常见的方法,来实现将 TLS 证书指定到一个单独的命名空间下,以满足不同场景下的需求。
k8s证书笔记
wujianqinjian
11-23 879
k8s 证书 获取组件 wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 创建一个名为TLS的文件夹,并将组件文件移动到该文件夹下,同时添加可习性权限 #创建TLS文件夹 mkdir -p ~/TLS #移动文件 mv
kubernetes学习:3.创建tls证书和秘钥
linux_player_c(系统&开发)
04-01 5806
kubernete tls证书和秘钥 传输k8s各组件之间的通信可以使用http方式,但是为了安全起见,生产环境需要使用https方式通信,所以我们需要生成tls证书进行加密传输。 构建环境 再次介绍下我们本次搭建的环境: 节点名称 ip 配置 wecloud-test-k8s-1(master) 192.168.99.183 4核,4G,50G...
Kubernetes 集群自证书配置
2401_86962969的博客
09-04 372
证书加nginx配置只能在内网中访问,公网443需要在nginx配置TCP和UDP流量的负载均衡,需要使用到nginxstream模块。这里分别配置了测试环境与生产环境两个 ClusterIssuer, 原因是 Let’s Encrypt 的生产环境有着非常严格的接口调用限制,最好是在测试环境测试通过后,再切换为生产环境。注:如果你的ingress做的是外部nginx转发需要先把nginx配置写好,确保能够正确访问到正确的域名。1、安装crds,根据自己的版本安装。查看安装的cert-manager。
k8s往secret里导入证书_Kubernetes K8S之存储Secret详解
weixin_39604598的博客
12-22 1054
K8S之存储Secret概述与类型说明,并详解经常使用Secret示例html主机配置规划服务器名称(hostname)系统版本配置内网IP外网IP(模拟)k8s-masterCentOS7.72C/4G/20G172.16.1.11010.0.0.110k8s-node01CentOS7.72C/4G/20G172.16.1.11110.0.0.111k8s-node02CentOS7.72C/...
K8S主机Prometheus监控ssl证书资源清单及镜像文件
01-14
Kubernetes(K8S)集群环境中,监控是确保系统稳定性和高效运行的关键组成部分。Prometheus作为流行的开源监控系统,常被用于收集和分析各种服务的指标。本文将深入探讨如何利用Prometheus监控K8S主机上的SSL证书...
k8s证书
qq_38461429的博客
07-11 358
1.证书发准备 准备证书环境 运维主机 HDSS7-200.host.com上: 安装CFSSL 证书发工具CFSSL:R1.2 cfssl下载地址 cfssl-json下载地址 cfssl-certinfo下载地址 [root@hdss7-200 ~]# wgethttps://pkg.cfssl.org/R1.2/cfssl_linux-amd64-O /usr/bin/cfssl [root@hdss7-200 ~]# wgethttps://pkg.cfssl.org/R1.2/cfs...
k8s--证书
yanghuadong的博客
02-09 1782
1.准备证书环境 运维主机 hdss-1-200.host.com上: 2.安装CFSSL 证书发工具CFSSL:R1.2 cfssl下载地址https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 cfssl-json下载地址https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 cfssl-certinfo下载地址https://pkg.cfssl.org/R1.2/cfssl-certinfo_li...
kubernetes1.19二进制搭建-3-自证书
清风的博客
02-23 469
下载cfssl curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/bin/cfssl curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /usr/bin/cfssljson curl -L https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o /usr/bin/cfssl-certinfo #赋予执行权限 c
用小白的方法自定义K8S集群证书,超级简单使用!!
My_Love_Linux的博客
04-21 525
就是关于K8S集群架构内部的证书问题,我们都知道使用kubeadm来初始化集群并且已容器交付的方式来搭建K8S是非常简单的。但是这里会存在一个大坑就是集群内部的证书只有一年有效期,一旦到期集群就挂了。需要手动续期并且可能会对正在运行的服务造成影响。 那么有没有方法可以避开二进制安装的繁琐,又不需要修改kubeadm源码来使用证书的有效期做自定义呢,肯定有,而且超简单。 这里我们已生产环境来说场景是刚刚使用kubeadm部署好了一般的K8S集群系统(一台MASTER,N台...
ssl:tls证书
22333
05-07 332
go1.15以后必须是SAN证书 需要下载openssl mac下载方法:brew install openssl 生成 CA 根证书 genrsa -out ca.key 2048 req -new -x509 -days 3650 -key ca.key -out ca.pem 生成服务端证书 genpkey -algorithm RSA -out server.key req -new -nodes -key server.key -out server.csr -days 36.
k8s集群部署之证书
张存的博客
09-01 921
准备证书环境 10.4.7.200上执行 安装CFSSL wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O /usr/bin/cfssl wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O /usr/bin/cfssl-json wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -O /usr/bin/cfssl-ce
Kubernetes应用中使用TLS/SSL证书的两种方法及实践 详细整理版
且炼时光
08-27 8251
k8s应用注入自发的TLS/SSL证书有两种思路:1.使用certificates.k8s.io API 进行发。2. 自己生成CA证书进行发,将所需的证书及公密钥打包进secret。本文将对这两种方法进行比较并动手实践。 文章目录零 获取自发CA根证书1. 准备好openssl工具2. 创建 CA证书名申请 配置文件(ca-csr-config.json)3. 生成 CA密钥及证书一 certificates.k8s.io API发1 配置kubernetes使用自定义的CA根证书二 使用自
k8s创建ingress的tls
02-12
### 如何在 Kubernetes 中为 Ingress 设置 TLS 证书和加密 为了确保通过 Ingress 访问应用程序的安全性,可以通过配置 Transport Layer Security (TLS) 来实现数据传输的加密。这通常涉及到创建证书或获取由受信任的证书颁发机构(CA)发的证书。 #### 创建 TLS 秘钥和证书文件 首先需要准备服务器私钥(`server-key.pem`) 和对应的公钥证书 (`server-cert.pem`). 这些文件可以在本地生成或者从 CA 获取. #### 将 TLS 文件转换成 Secret 对象 使用 `kubectl create secret` 命令来创建一个包含上述两个文件内容的秘密对象(secret),该命令会将指定路径下的 `.pem` 文件作为 base64 编码后的字符串存储到 K8S 集群中: ```bash $ kubectl create secret tls my-tls-secret \ --cert=path/to/tls.crt \ --key=path/to/tls.key ``` 此操作会在默认命名空间下创建名为 `my-tls-secret` 的秘密资源[^1]. #### 修改 Ingress 资源定义以支持 HTTPS 协议 编辑现有的 ingress.yaml 或者新建一个 YAML 文件,在其中添加如下字段: ```yaml apiVersion: networking.k8s.io/v1beta1 kind: Ingress metadata: name: example-ingress spec: tls: - hosts: - "example.com" secretName: my-tls-secret # 使用之前创建的秘密名称 rules: - host: "example.com" http: paths: - path: / backend: serviceName: web-service servicePort: 80 ``` 这段代码指定了当访问带有特定域名(如 `"example.com"`)请求时应匹配哪个后端服务,并关联了前面提到过的 TLS 密钥/证书组合. 完成以上步骤之后就可以提交更新给 API Server 并等待控制器应用更改了。一旦成功部署并生效,则所有针对所配置域名为前缀 URL 的流量都将被强制重定向至 HTTPS 方式连接.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值