k 8 s sslクラスタの導入実践2:cfsslルート証明書と鍵の構成

5350 ワード

参照ドキュメント:https://github.com/opsnull/follow-me-install-kubernetes-cluster作者の無私な分かち合いに感謝します.クラスタ環境の構築に成功しました.記事は、導入中に発生したエラーと詳細な操作手順の記録です.比較参考が必要な場合は、順番に読んでテストしてください.
2.1##インストールCFSSL CloudFlareのPKIツールセットcfsslを使用してCertificate Authority(CA)証明書と鍵ファイルを生成します.CAは自己署名の証明書で、後で作成する他のTLS証明書に署名します.

[root@k8s-master ~]# mkdir -p /opt/k8s/cert && chown -R k8s /opt/k8s/
[root@k8s-master ~]# cd /opt/k8s/
[root@k8s-master ~]wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
[root@k8s-master ~]wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
[root@k8s-master ~]wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
[root@k8s-master k8s]# ls
bin  cert  cfssl-certinfo_linux-amd64  cfssljson_linux-amd64  cfssl_linux-amd64
[root@k8s-master k8s]# cp cfssl* bin/
[root@k8s-master k8s]# cd bin
[root@k8s-master bin]# ls
cfssl-certinfo_linux-amd64  cfssljson_linux-amd64  cfssl_linux-amd64  environment.sh
[root@k8s-master bin]#
[root@k8s-master bin]# find -name "*_linux-amd64" |for i in *;do mv $i `echo $i |sed 's/\_linux-amd64//g'`;done
[root@k8s-master bin]# ls
cfssl  cfssl-certinfo  cfssljson  environment.sh
[root@k8s-master ~]# export PATH=/opt/k8s/bin:$PATH

永続的なパスの定義:

[root@k8s-master ~]# echo "export PATH=/opt/k8s/bin:$PATH" >>.bashrc
[root@k8s-master ~]# cat .bashrc
# .bashrc

# User specific aliases and functions

alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'

# Source global definitions
if [ -f /etc/bashrc ]; then
        . /etc/bashrc
fi
export PATH=/opt/k8s/bin:/opt/k8s/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin

[root@k8s-master ~]# source .bashrc
[root@k8s-master ~]#
[root@k8s-master ~]# chmod +x /opt/k8s/bin/*
[root@k8s-master ~]# cfssl version
Version: 1.2.0
Revision: dev
Runtime: go1.6

2.2ルート証明書CA証明書の作成はクラスタのすべてのノードが共有しており、CA証明書を作成するだけで、その後に作成されたすべての証明書が署名されます.
ルート証明書を構成するためのプロファイルCAプロファイルを作成する使用シーン(profile)と特定のパラメータ(usage、期限切れ、サービス側認証、クライアント認証、暗号化など)は、その後、他の証明書に署名する際に特定のシーンを指定する必要があります.

[root@k8s-master cfssl]# cat ca-config.json
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}

Signing:この証明書が他の証明書に署名するために使用できることを示し、生成されたca.pem証明書のCA=TRUE;server auth:clientがこの証明書でserverが提供した証明書を検証できることを示します.Client auth:serverがこの証明書でclientが提供した証明書を検証できることを示します.
証明書署名要求ファイルの作成

[root@k8s-master cfssl]# cat ca-csr.json
{
  "CN": "kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "SZ",
      "L": "SZ",
      "O": "k8s",
      "OU": "4Paradigm"
    }
  ]
}
[root@k8s-master cfssl]#

CA証明書と秘密鍵の生成

[root@k8s-master cfssl]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca
2018/08/16 16:01:21 [INFO] generating a new CA key and certificate from CSR
2018/08/16 16:01:21 [INFO] generate received request
2018/08/16 16:01:21 [INFO] received CSR
2018/08/16 16:01:21 [INFO] generating key: rsa-2048
2018/08/16 16:01:21 [INFO] encoded CSR
2018/08/16 16:01:21 [INFO] signed certificate with serial number 205566785593103327654759750393009729905695377637
[root@k8s-master cfssl]# ls ca*
ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem

♪ca.pem♪ca-key.pem秘密鍵
2.3配布証明書ファイルは生成されたCA証明書、鍵ファイル、構成ファイルをすべてのノードの/etc/kubernetes/certディレクトリにコピーする:

[root@k8s-master cfssl]# cp ca* /etc/kubernetes/cert/
[root@k8s-master cfssl]# scp ca* root@k8s-node1:/etc/kubernetes/cert/
ca-config.json                                                                        100%  292   225.0KB/s   00:00   
ca.csr                                                                                100%  993     1.3MB/s   00:00   
ca-csr.json                                                                           100%  201   288.7KB/s   00:00   
ca-key.pem                                                                            100% 1675     2.5MB/s   00:00   
ca.pem                                                                                100% 1338     2.0MB/s   00:00   
[root@k8s-master cfssl]# scp ca* root@k8s-node2:/etc/kubernetes/cert/
ca-config.json                                                                        100%  292   290.3KB/s   00:00   
ca.csr                                                                                100%  993     1.2MB/s   00:00   
ca-csr.json                                                                           100%  201   265.3KB/s   00:00   
ca-key.pem                                                                            100% 1675     2.1MB/s   00:00   
ca.pem                                                                                100% 1338     1.9MB/s   00:00   
[root@k8s-master cfssl]#

転載先:https://blog.51cto.com/goome/2164750

Spring hibernateを統合し、c 3 p 0接続プール構成を使用

reactの親コンポーネントがサブコンポーネントを呼び出す方法