k8s之安装证书和kubectl和生成kubeconfig

最新推荐文章于 2025-04-03 15:59:03 发布
最新推荐文章于 2025-04-03 15:59:03 发布
阅读量1.5k 收藏 6
点赞数 1
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43882968/article/details/120153149
版权
本文介绍了在CentOS 7.8环境下,如何安装CFSSL工具,创建和校验Kubernetes相关证书,包括CA、kubernetes、admin和kube-proxy证书。此外,还详细阐述了kubelet配置、TLS Bootstrapping Token的创建以及kubeconfig文件的生成和分发过程,确保节点间安全通信。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

环境:centos7.8

安装CFSSL:

直接使⽤⼆进制源码包安装:

我的下载地址https://pkg.cfssl.org

找到cfssl-certinfo_1.6.1_linux_amd64,cfssljson_1.6.1_linux_amd64,cfssl_1.6.1_linux_amd64下载下来并用scp拷贝到centos中

到三个文件的目录中,并给予权限:

chmod +x cfssl-certinfo_1.6.1_linux_amd64
chmod +x cfssljson_1.6.1_linux_amd64
chmod +x cfssl_1.6.1_linux_amd64
#改名
mv cfssl-certinfo_1.6.1_linux_amd64 cfsslcertinfo
mv cfssljson_1.6.1_linux_amd64 cfssljson
mv cfssl_1.6.1_linux_amd64 cfssl
mv cfss* /usr/local/bin
export PATH=/usr/local/bin:$PATH

创建    CA    (Certificate    Authority)
 

mkdir /usr/ssl
cd /usr/ssl
cfssl print-defaults config > config.json
cfssl print-defaults csr > csr.json
cat ca-config.json
{
  "signing": {
    "default": {
      "expiry": "8760h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}

字段说明

  • ca-config.json:可以定义多个 profiles,分别指定不同的过期时间、使用场景等参数;后续在签名证书时使用某个 profile;
  • signing:表示该证书可用于签名其它证书;生成的 ca.pem 证书中 CA=TRUE
  • server auth:表示client可以用该 CA 对server提供的证书进行验证;
  • client auth:表示server可以用该CA对client提供的证书进行验证;
  • expiry: 过期时间;

 创建    CA    证书签名请求
创建        ca-csr.json        ⽂件,内容如下:
 

cat ca-csr.json
{
  "CN": "kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}
  • “CN”:Common Name,kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name);浏览器使用该字段验证网站是否合法;
  • “O”:Organization,kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group);

 ⽣成    CA    证书和私钥:

cfssl gencert -initca ca-csr.json | cfssljson -bare ca
ls ca*
#输出: ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem

创建    kubernetes    证书
创建    kubernetes    证书签名请求⽂件        kubernetes-csr.json    :
 

cat kubernetes-csr.json
{
    "CN": "kubernetes",
    "hosts": [
      "127.0.0.1",
      "10.201.143.218",
      "10.201.143.217",
      "10.201.143.219",
      "10.254.0.1",
      "kubernetes",
      "kubernetes.default",
      "kubernetes.default.svc",
      "kubernetes.default.svc.cluster",
最低0.47元/天 解锁文章
Kubernetes (K8s)安装部署过程(三)之证书kubeconfig文件创建
云深海阔专栏
08-13 1517
说明   安装kubelet工具,参考:https://jimmysong.io/kubernetes-handbook/practice/kubectl-installation.html 安装并赋予可执行权限,继续进行操作: 1、创建TLS bootstrapping Token,即token.csv文件 # export BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ') # cat > token.c
二进制部署的k8s集群,手动生成kubeconfig的配置文件
qq_34953582的博客
06-20 1230
二进制部署的k8s集群,手动生成kubeconfig的配置文件
k8s 集群给用户生成 kubeconfig 文件
小新没有蜡笔
10-11 1004
k8s 集群的 RBAC 里有用到用户、组的概念,但是它又不直接管理这些资源,而是通过外部身份验证机制(Authentication Mechanisms)来管理定义的,比如证书进行签名时,将其配置为 Subject: O = system:masters, CN = kubernetes-admin。O 代表用户组,CN 是用户,这些都是通过签署证书管理的。但是新版本可以直接通过命令去创建,我用的是 1.31
k8s kubectl生成kube-config文件
weixin_30920597的博客
05-18 3126
配置kube配置文件   设置集群参数   kubectl config set-cluster kubernetes --certificate-authority=/etc/kubernetes/ssl/ca.pem --server=https://192.168.1.71:6443   cat ~/.kube/config   apiVersion: v1 clusters:...
【3】搭建k8s集群系列(二进制部署)之安装dockerk8s自签证书
最新发布
weixin_43063624的博客
04-03 329
这里使用 Docker 作为容器引擎,也可以换成别的,例如 containerd下载地址:https://download.docker.com/linux/static/stable/x86_64/docker-以下在所有节点操作。这里采用二进制安装,用 yum 安装也一样。
K8s之配置文件kubeconfig生成
weixin_34409741的博客
11-13 6067
在开启了 TLS 的集群中,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书 token 两种认证方式是最简单也最通用的认证方式。 以kubectl为例介绍kubeconfig的配置。kubectl只是个go编写的可执行程序,只要为kubectl配置合适的kubeconfig,就可以在集群中的任意节点使用。kubectl默认会从$HOME/.kube目录下查找文件...
k8s如何生成一个完整的kubeconfig文件
2401_86274572的博客
08-03 2493
k8s如何生成一个完整的kubeconfig文件
K8s手工创建kubeconfig
小单的博客专栏
02-14 2205
4、以上配置文件中的证书通过字符串的方式配置在 config 文件中,如果不想写具体的字符串,本地有证书文件,则可以通过。如果你的 K8s 集群是使用 RKE 创建,则对应的证书文件路径就是示例中的。3、另外,如果 user 中使用 token,则可以不配置。命令行连接 k8s apiserver 时需要依赖。的内容,获取文件内容的方法可以使用命令。的内容,获取文件内容的方法可以使用命令。文件的默认存放位置为。(上下文)列表,每个。,内容可以单行或者使用。,内容可以单行或者使用。
K8S根据serveraccount权限生成kubeconfig
u013488094的博客
03-10 915
K8S根据serveraccount权限生成kubeconfig 一、 将如下脚本拷贝到节点上: #!/bin/bash # 文件名: gen.sh set -e set -o pipefail # Add user to k8s using service account, no RBAC (must create RBAC after this script) if [[ -z "$1" ]] || [[ -z "$2" ]]; then echo "usage: $0 <service_ac
严格把控K8S集群中的操作权限,为普通用户生成特定的kubeconfig文件
菜鸟运维升级之路
03-12 850
使用并维护过K8S的ops/sre都知道,kubeconfig对于k8s的访问是非常重要。无论是部署,调试还是运维,都需要kubeconfig文件。在通过二进制或者kubeadm方式部署完一套集群后,会在/root/.kube/目录下产生一个config文件,这个文件就是集群的管理文件,如果直接给将该文件给到其他人员肯定不合适,因为管理员的kubeconfig可以干任何事情,注意是任何事情。包括删除节点等高危操作。因此,就涉及到了k8s集群的权限管理。
kubernetes中.kube/config文件生成
paterl的博客
10-11 767
自己生成一个kubeconfig文件
k8s 生成config 文件
qq_36270681的博客
02-23 3053
拷贝文件给master scp admin.pem 10.1.234.30:/opt/kubernetes/ssl/ scp admin-key.pem 10.1.234.30:/opt/kubernetes/ssl/ [root@k8s-master1 ~]# cat config.sh # 配置kubernetes集群参数 kubectl config set-cluster kubernetes \ --certificate-authority=/opt/kubernetes..
k8s中集群配置文件config生成
chang_rj的博客
03-26 5293
本文是在已有集群的基础上进行重新配置kubelet实现的 kubectl:使用 ca.pem、admin-key.pem、admin.pem; cd k8s-cert/ vi admin-csr.json ---------- { "CN": "admin", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, ...
【Kubernetes】k8s user类型账号的config文件创建
K_sir666的博客
08-17 955
kubectl是 Kubernetes 命令行工具,用于与 Kubernetes 集群进行交互。它允许用户执行各种操作,如部署应用、管理资源、查看集群状态等。–server可以通过命令查看集群API地址的这个命令执行后config文件已生成(kube-dev.config)
K8s】专题十:Kubernetes 生成特定 Kubeconfig 文件
运维、实施交付领域知识交流
08-07 1545
Kubernetes 专题 - 生成特定 Kubeconfig 文件
k8s】创建kubeconfig文件
weixin_45066823的博客
01-19 1146
如果是用kubeadm创建的集群,使用以下命令,创建一个用户名为test-viewer 的,有效期为一年的,apiserver地址是https://k8sapi:6443的kubeconfig 文件。使用以下脚本可以创建一个只对某个命令空间可以执行命令的kubeconfig文件,具体所需权限可以自己调整yaml文件内容。
CKA备考实验 | 创建kubeconfig文件
COCO_gsta的博客
09-27 342
书籍来源:《CKA/CKAD应试指南:从Docker到Kubernetes完全攻略》要创建kubeconfig文件的话,需要一个私钥及集群CA授权颁发的证书。如同我们要到公安局(权威机构)去申请办理身份证,公安局审核之后给我们颁发身份证,这个身份证可以作为证明身份的有效证件,而不能自己随便印一张名片作为有效证件。同理,我们不能直接用私钥生成公钥,而必须是用私钥生成证书请求文件(申请书),然后根据证书请求文件向CA(权威机构)申请证书(身份证),CA审核通过之后会颁发证书。下面开始创建整个过程。
kubernetes通过自定义账户生成kubeconfig文件,实现对集群的访问
rendongxingzhe的博客
04-20 2117
.生成账户的证书请求文件 cat > ldy-csr.json <<EOF { "CN": "ldy", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "L": "BeiJing", "ST": "BeiJing" } ] } EOF 二.生成自定义用户证书 cfssl gence
[云原生k8s] k8s的CA证书创建使用
qq_57377057的博客
11-01 3507
目前生产部署Kubernetes集群主要有两种方式:(1)kubeadmKubeadm 是一个 K8s 部署工具,提供 kubeadm init kubeadm join,用于快速部 署 Kubernetes 集群。官方地址:https://kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm/(2)二进制包从 github 下载发行版的二进制包,手动部署每个组件,组成 Kubernetes 集群。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值