Kubernetes生产实践系列之五：基于虚拟机部署安全加密的etcd集群

最新推荐文章于 2025-01-17 18:11:09 发布

原创

最新推荐文章于 2025-01-17 18:11:09 发布 · 446 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#云原生 #kubernetes

本文详细介绍如何在虚拟机上构建安全的etcd集群，包括操作系统准备、生成证书和key文件、安装etcd服务及查看集群状态等关键步骤。

一、前言

etcd集群对于Kubernetes集群及其重要，Kubernetes的API Server本身是无状态的，所有的状态都进入etcd进行存储，所以etcd的性能和安全关乎整个Kubernetes集群的性能和安全：

本文介绍使用在虚拟机上构建证书安全的etcd集群。

转载自https://blog.youkuaiyun.com/cloudvtech

二、准备工作

2.1 操作系统准备工作

#关闭防火墙
systemctl disable firewalld
systemctl stop firewalld

#配置域名
[root@k8s-master-02 etcd]# cat /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.56.101 k8s-master-01
192.168.56.102 k8s-master-02
192.168.56.103 k8s-master-03
192.168.56.111 k8s-node-01
192.168.56.112 k8s-node-02
192.168.56.113 k8s-node-03

#创建需要的目录
mkdir /opt/etcd/
mkdir /opt/etcd/data
mkdir /opt/etcd/logs

2.2 生成证书和key文件

工具准备

curl -s -L -o /usr/bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
curl -s -L -o /usr/bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
chmod +x /usr/bin/{cfssl,cfssljson}

ca-config.json

{
  "signing": {
    "default": {
      "expiry": "100000h"
    },
    "profiles": {
      "server": {
        "usages": ["signing", "

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

cloudvtech

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Kubernetes实战（二十二）-Etcd 集群部署（安全）

专注基础架构领域

08-23

808

kuberntes 系统使用 etcd 存储所有数据，本文档介绍部署一个三节点高可用 etcd 集群的步骤。 1、准备etcd软件包并分发etcd文件 [root@master ~]# cd /usr/local/src [root@master src]#wget https://github.com/coreos/etcd/releases/download/v3.2.18/etcd-v3.2.18-linux-amd64.tar.gz [root@master src]# tar zxf etc

景天科技苑

06-24

2万+

参与评论您还未登录，请先登录后发表或查看评论

centos7，etcd集群部署，基于二进制包，集群通信采用http协议

qq_50247813的博客

04-11

1394

理论知识参考一下： https://blog.youkuaiyun.com/MssGuo/article/details/134495748。官网集群部署文档： https://etcd.io/docs/v3.5/op-guide/clustering/官网文档参考：https://etcd.io/docs/v3.5/op-guide/configuration/安装包路径：https://github.com/etcd-io/etcd/releases/etcd官网地址： https://etcd.io/

基于ETCD的Kubernetes基本原理解析

wangyish201201的专栏

09-21

606

ETCD概念 ETCD是一种高可用的键值对类型的数据库，提供可靠的分布式的状态存储，可以配置多节点群集，群集之间做数据同步来保证数据可靠性，当一台因为故障挂点，会从剩余的节点通过选举算法选举出一个几点来代替故障节点，从而实现高可用性。 ETCD与Kubernetes的关系 ETCD为Kubernetes提供了可靠的数据存储机制，和基于watch机制的订阅发布机制，实现了核心数据的存储，和核心的基于watch-list的informer机制，当ETCD数据变化通过watch机制触发相应的核心操作，如pod创建

etcd在同一台虚拟机搭建集群

云南小伙闯深圳

05-27

994

要点，将etcd拷贝到不同的目录，每个etcd用不同的端口号，cd到etcd目录，做如下配置即可： ./etcd --name etcd00 --initial-advertise-peer-urls http://192.168.75.145:2380 \ --listen-peer-urls http://192.168.75.145:2380 \ --listen-client

OpenStack单点部署及使用简单教程(附：部署好的VMware虚拟机)

weixin_34246551的博客

08-09

774

OpenStack单点部署及使用简单教程1环境操作系统：ubuntu-12.04-server2软件工具1.ssh客户端，用来远程连接服务器。如果是通过Windows的命令行工具来访问，则需要安装xshell这个软件。http://pan.baidu.com/share/link?shareid=3367095880&uk=1158192742。如果是linux环境，...

Kubernetes生产实践系列之九：通过RPM安装Kubernetes HA集群

cloudvtech的博客

05-10

670

一、前言

基于云的自管理etcd集群运维工具

etcd 是一个高可用的分布式键值存储系统，广泛用于保存关键的元数据信息，尤其是在 Kubernetes 集群中承担着核心作用，负责存储集群状态、配置、服务发现等重要数据。随着云原生技术的发展，如何在公有云或混合云...

基于 KubeSphere v4 的 Kubernetes 生产环境部署架构设计及成本分析

最新发布

KubeSphere

01-17

2650

本架构适用于中小规模(节点数量 <=50 个)的 K8s 生产环境，大型环境暂未经过生产验证，仅供参考。所有节点采用云上虚拟机方式部署，基于成本和灵活性考虑，核心组件均采用自建方式（建议有条件的企业优先选用云厂商托管产品本架构集成了开源的 WAF、堡垒机等基础安全组件，适用于一般安全等级的生产环境，对于金融、政务等高安全要求场景需要进一步加固。本架构为v2025版，凝聚了本人多个生产环境的实践经验，根据实际运维过程中的问题和挑战不断完善，一直持续优化迭代中（欢迎反馈建议。

基于Docker的Etcd分布式部署的方法步骤

09-30

主要介绍了基于Docker的Etcd分布式部署的方法步骤，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧

Kubernetes介绍篇：是什么? 为什么要用它？

xcbeyond|疯狂源自梦想，技术成就辉煌

10-26

4849

是时候该学习Kubernetes了，不然都不敢说自己了解容器、了解Docker。 1、Kubernetes的前世 Kubernetes，它是一个全新的基于容器技术的分布式架构方案，近些年在容器领域使用非常广泛，作为容器化部署实施的典型方案。看似很新（相对于刚出现时来说），但它却是谷歌十几年以来大规模应用容器技术的经验积累和升华的重要成果。确切地说，Kubernetes是谷歌严格保密十几年的秘密武器——Borg的一个开源版本。Borg是谷歌的一个久负盛名的内部使用的大规模集群管理系统，它基于容器技术，..

为什么需要 Kubernetes，它能做什么？

qq_44534541的博客

12-10

1233

由于 Kubernetes 是在容器级别运行，而非在硬件级别，它提供了 PaaS 产品共有的一些普遍适用的功能，例如部署、扩展、负载均衡，允许用户集成他们的日志记录、监控和警报方案。一种解决方案是将每个应用程序都运行在不同的物理服务器上，但是当某个应用程序资源利用率不高时，剩余资源无法被分配给其他应用程序，而且维护许多物理服务器的成本很高。● 不限制支持的应用程序类型。● 批处理执行除了服务外，Kubernetes 还可以管理你的批处理和 CI（持续集成）工作负载，如有需要，可以替换失败的容器。

创建加密的ETCD docker集群实战记录

happyfreeangel的博客

10-28

1263

https://pcocc.readthedocs.io/en/latest/deps/etcd-production.html 部署安全的etcd集群。本指南说明了如何设置高可用性etcd服务器集群以及如何确保与TLS的通信安全。本指南改编自官方的etcd文档，您可以在其中找到更多详细信息。证书生成要启用TLS，您需要生成自签名证书颁发机构和服务器证书。在此示例中，我们将考虑使用以下节点...

为什么要用Kubernets

qq_39128254的博客

09-15

368

使用Kubernetes的理由很多，最重要的理由是，IT行业从来都是由新技术驱动的。当前，Docker这门容器化技术已经被很多公司采用，从单机走向集群已成为必然，云计算的蓬勃发展正在加速这一进程。Kubernetes作为当前被业界广泛认可和看好的基于Docker的大规模容器化分布式系统解决方案，得到了以谷歌为首的IT巨头们的大力宣传和持续推进。 ...

kubernetes 坑人的错误！！！Unable to connect to the server: x509: certificate signed by unknown authority

热门推荐

alenliu's blog

06-22

9万+

说明尼玛，今晚在虚拟机搭建 kubernetes 集群环境时，遇到一个破问题，我花费了近4个小时才解决！！！，现记录下这个问题如何出现以及如何解决，避免后人踩坑！！！环境 ubuntu 16.04 虚拟机 docker 18.09.1 kubernetes 1.14.3 问题复现昨天按照教程搭建了一个集群，今天想重新实验下，于是执行kubeadm reset命令清除集群所有的配置。接着...

Error response from daemon: Get https://10.131.178.174/v2/: x509: certificate has expired or is not

Quincy.Coder的博客

11-01

1万+

解决：需要到docker.service中修改下参数就可以了！

单个虚拟机部署三个etcd实例/一个ectd实例

weixin_37871174的博客

09-14

1474

1、安装etcd:yum install etcd 2、查看etcd版本：etcd --version 3、在一个目录下创建三个文件(etcd1_conf.yml,etcd2_conf.yml,etcd2_conf.yml)和三个文件夹(etcd1/data,etcd2/data,etcd3/data)分别存放三个etcd实例的配置文件和其对应的运行目录。 etcd1_conf.yml内容 name: etcd1 data-dir: /home/test/etcd_conf/etcd1..

Kubernetes (K8s)安装部署过程(四)之创建高可用etcd集群

云深海阔专栏

08-13

1144

kuberntes 系统使用 etcd 存储所有数据，本文档介绍部署一个三节点高可用 etcd 集群的步骤，这三个节点复用 kubernetes master 机器 1、TLS 认证文件需要为 etcd 集群创建加密通信的 TLS 证书，etcd集群认证用，除了本机有，分发到其他node节点 [root@k8s_Master ssl]# scp ca.pem kubernetes-key.pem kubernetes.pem root@192.168.0.222:/etc/kubernetes/s

kubernetes的etcd数据库的数据备份与恢复

叼不起的烟斗的博客

03-01

1569

文章目录一、前言二、工具安装2.1、etcd版本查询2.2、etcdctl工具下载安装三、备份3.1、查询etcd服务3.2、测试命令使用3.3、内置快照备份3.4、卷快照四、恢复4.1、恢复快照4.2、备注一、前言此环境是通过kubeadm安装的kubernetes，etcd是以容器的方式运行的，如果是本地运行的etcd，备份恢复步骤类似。所有 Kubernetes 对象都存储在 etcd 上。定期备份 etcd 集群数据对于在灾难场景（例如丢失所有控制平面节点）下恢复 Kubernetes 集群非

Crane工具：使用Ansible轻松部署Kubernetes集群

通过综合标题、描述、标签以及压缩包文件的名称，我们可以了解到起重机是一款基于 Ansible 自动化部署 Kubernetes 集群的工具，并且支持 StaticPod 部署模式以及一系列特定的功能和平台，提供了一个简化、高效的 ...