k 8 s sslクラスタの導入実践2:cfsslルート証明書と鍵の構成
5350 ワード
参照ドキュメント:https://github.com/opsnull/follow-me-install-kubernetes-cluster作者の無私な分かち合いに感謝します.クラスタ環境の構築に成功しました.記事は、導入中に発生したエラーと詳細な操作手順の記録です.比較参考が必要な場合は、順番に読んでテストしてください.
2.1##インストールCFSSL CloudFlareのPKIツールセットcfsslを使用してCertificate Authority(CA)証明書と鍵ファイルを生成します.CAは自己署名の証明書で、後で作成する他のTLS証明書に署名します.
永続的なパスの定義:
2.2ルート証明書CA証明書の作成はクラスタのすべてのノードが共有しており、CA証明書を作成するだけで、その後に作成されたすべての証明書が署名されます.
ルート証明書を構成するためのプロファイルCAプロファイルを作成する使用シーン(profile)と特定のパラメータ(usage、期限切れ、サービス側認証、クライアント認証、暗号化など)は、その後、他の証明書に署名する際に特定のシーンを指定する必要があります.
Signing:この証明書が他の証明書に署名するために使用できることを示し、生成されたca.pem証明書のCA=TRUE;server auth:clientがこの証明書でserverが提供した証明書を検証できることを示します.Client auth:serverがこの証明書でclientが提供した証明書を検証できることを示します.
証明書署名要求ファイルの作成
CA証明書と秘密鍵の生成
♪ca.pem♪ca-key.pem秘密鍵
2.3配布証明書ファイルは生成されたCA証明書、鍵ファイル、構成ファイルをすべてのノードの/etc/kubernetes/certディレクトリにコピーする:
転載先:https://blog.51cto.com/goome/2164750
2.1##インストールCFSSL CloudFlareのPKIツールセットcfsslを使用してCertificate Authority(CA)証明書と鍵ファイルを生成します.CAは自己署名の証明書で、後で作成する他のTLS証明書に署名します.
[root@k8s-master ~]# mkdir -p /opt/k8s/cert && chown -R k8s /opt/k8s/
[root@k8s-master ~]# cd /opt/k8s/
[root@k8s-master ~]wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
[root@k8s-master ~]wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
[root@k8s-master ~]wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
[root@k8s-master k8s]# ls
bin cert cfssl-certinfo_linux-amd64 cfssljson_linux-amd64 cfssl_linux-amd64
[root@k8s-master k8s]# cp cfssl* bin/
[root@k8s-master k8s]# cd bin
[root@k8s-master bin]# ls
cfssl-certinfo_linux-amd64 cfssljson_linux-amd64 cfssl_linux-amd64 environment.sh
[root@k8s-master bin]#
[root@k8s-master bin]# find -name "*_linux-amd64" |for i in *;do mv $i `echo $i |sed 's/\_linux-amd64//g'`;done
[root@k8s-master bin]# ls
cfssl cfssl-certinfo cfssljson environment.sh
[root@k8s-master ~]# export PATH=/opt/k8s/bin:$PATH
永続的なパスの定義:
[root@k8s-master ~]# echo "export PATH=/opt/k8s/bin:$PATH" >>.bashrc
[root@k8s-master ~]# cat .bashrc
# .bashrc
# User specific aliases and functions
alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'
# Source global definitions
if [ -f /etc/bashrc ]; then
. /etc/bashrc
fi
export PATH=/opt/k8s/bin:/opt/k8s/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin
[root@k8s-master ~]# source .bashrc
[root@k8s-master ~]#
[root@k8s-master ~]# chmod +x /opt/k8s/bin/*
[root@k8s-master ~]# cfssl version
Version: 1.2.0
Revision: dev
Runtime: go1.6
2.2ルート証明書CA証明書の作成はクラスタのすべてのノードが共有しており、CA証明書を作成するだけで、その後に作成されたすべての証明書が署名されます.
ルート証明書を構成するためのプロファイルCAプロファイルを作成する使用シーン(profile)と特定のパラメータ(usage、期限切れ、サービス側認証、クライアント認証、暗号化など)は、その後、他の証明書に署名する際に特定のシーンを指定する必要があります.
[root@k8s-master cfssl]# cat ca-config.json
{
"signing": {
"default": {
"expiry": "87600h"
},
"profiles": {
"kubernetes": {
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
],
"expiry": "87600h"
}
}
}
}
Signing:この証明書が他の証明書に署名するために使用できることを示し、生成されたca.pem証明書のCA=TRUE;server auth:clientがこの証明書でserverが提供した証明書を検証できることを示します.Client auth:serverがこの証明書でclientが提供した証明書を検証できることを示します.
証明書署名要求ファイルの作成
[root@k8s-master cfssl]# cat ca-csr.json
{
"CN": "kubernetes",
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "SZ",
"L": "SZ",
"O": "k8s",
"OU": "4Paradigm"
}
]
}
[root@k8s-master cfssl]#
CA証明書と秘密鍵の生成
[root@k8s-master cfssl]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca
2018/08/16 16:01:21 [INFO] generating a new CA key and certificate from CSR
2018/08/16 16:01:21 [INFO] generate received request
2018/08/16 16:01:21 [INFO] received CSR
2018/08/16 16:01:21 [INFO] generating key: rsa-2048
2018/08/16 16:01:21 [INFO] encoded CSR
2018/08/16 16:01:21 [INFO] signed certificate with serial number 205566785593103327654759750393009729905695377637
[root@k8s-master cfssl]# ls ca*
ca-config.json ca.csr ca-csr.json ca-key.pem ca.pem
♪ca.pem♪ca-key.pem秘密鍵
2.3配布証明書ファイルは生成されたCA証明書、鍵ファイル、構成ファイルをすべてのノードの/etc/kubernetes/certディレクトリにコピーする:
[root@k8s-master cfssl]# cp ca* /etc/kubernetes/cert/
[root@k8s-master cfssl]# scp ca* root@k8s-node1:/etc/kubernetes/cert/
ca-config.json 100% 292 225.0KB/s 00:00
ca.csr 100% 993 1.3MB/s 00:00
ca-csr.json 100% 201 288.7KB/s 00:00
ca-key.pem 100% 1675 2.5MB/s 00:00
ca.pem 100% 1338 2.0MB/s 00:00
[root@k8s-master cfssl]# scp ca* root@k8s-node2:/etc/kubernetes/cert/
ca-config.json 100% 292 290.3KB/s 00:00
ca.csr 100% 993 1.2MB/s 00:00
ca-csr.json 100% 201 265.3KB/s 00:00
ca-key.pem 100% 1675 2.1MB/s 00:00
ca.pem 100% 1338 1.9MB/s 00:00
[root@k8s-master cfssl]#
転載先:https://blog.51cto.com/goome/2164750