curl -s -l -o /bin/cfssl
curl -s -l -o /bin/cfssljson
curl -s -l -o /bin/cfssl-certinfo
chmod +x /bin/cfssl*
client certificate: 用於服務端認證客戶端,例如etcdctl、etcd proxy、fleetctl、docker客戶端
server certificate: 服務端使用,客戶端以此驗證服務端身份,例如docker服務端、kube-apiserver
peer certificate: 雙向證書,用於etcd集群成員間通訊
mkdir /opt/ssl
cd /opt/ssl
cfssl print-defaults config > ca-config.json
cfssl print-defaults csr > ca-csr.json
,
"profiles": ,
"client": ,
"peer": }}
}
,
"names": [
]}
生成ca.pem、ca.csr、ca-key.pem(ca私鑰,需妥善保管)
cfssl print-defaults csr > server-csr.jsonvim server-csr.json
, "names": [
]}
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes server-csr.json | cfssljson -bare servercfssl print-defaults csr > admin-csr.jsonvim admin-csr.json
, "names": [
]}
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admincfssl print-defaults csr > kube-proxy-csr.json
vim kube-proxy-csr.json
, "names": [
]}
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy校驗生成的證書是否和配置相符
openssl x509 -in ca.pem -text -noout
openssl x509 -in server.pem -text -noout
openssl x509 -in client.pem -text -noout
k8s部署之使用CFSSL建立證書
curl s l o bin cfssl curl s l o bin cfssljson curl s l o bin cfssl certinfo chmod x bin cfssl client certificate 用於服務端認證客戶端,例如etcdctl etcd proxy fleet...
k8s部署之使用CFSSL建立證書
kubernetes系統的各元件需要使用tls證書對通訊進行加密,本文件使用cloudflare的 pki 工具集 cfssl 來生成 certificate authority ca 和其它證書 生成的 ca 證書和秘鑰檔案如下 使用證書的元件如下 注意 以下操作都在 master 節點即 172...
K8s部署prometheus監控K8s細節
prometheus 一些配置檔案可以再github上找到。部署 root kube prometheus manifests 目錄下所有檔案 部署 root kube prometheus manifests setup 目錄下所有檔案 要注意的是自己要建立乙個工作空間 如果報錯執行下面語句 部署...