爲kubernetes手動生成證書

原創 重慶沙 2019-02-22 13:12

默認情況下kubernetes在初始化集羣時,證書有效期年限爲1年。手動生成證書可以避免這個問題。


  1. 拉取git代碼

git clone https://github.com/fandaye/k8s-tls.git && cd k8s-tls/

2. 編輯配置文件 `apiserver.json` 文件 hosts 部分,添加對應kubernetes master 節點 主機名及IP地址,以 `,` 號間隔。如:

{
    "CN": "kube-apiserver",
    "hosts": [
      "172.16.50.131",
      "172.16.50.132",
      "172.16.50.104",
      "k8s01",
      "k8s02",
      "k8s03",
      "10.96.0.1",
      "kubernetes",
      "kubernetes.default",
      "kubernetes.default.svc",
      "kubernetes.default.svc.cluster",
      "kubernetes.default.svc.cluster.local"     
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    }
}

3. 執行腳本

./run.sh


4. 生成節點admin.conf,kubelet.conf,controller-manager.conf,scheduler.conf配置文件

cd /etc/kubernetes/pki

編輯 `node.sh` 文件,ip 爲當前節點ip地址,NODE 爲當前節點主機名,如:

ip="172.16.50.131"
NODE="k8s01"

編輯 `kubelet.json ` 文件,CN 區域,爲對應主機名,如:

"CN": "system:node:k8s01"

執行腳本

./node.sh


完成上面步驟,在初始化kubernetes集羣,如果證書及配置文件存在,就會使用現有的

[certificates] Using the existing ca certificate and key.
[certificates] Using the existing apiserver certificate and key.
[certificates] Using the existing apiserver-kubelet-client certificate and key.
[certificates] Using the existing sa key.
[certificates] Using the existing front-proxy-ca certificate and key.
[certificates] Using the existing front-proxy-client certificate and key.
[certificates] Valid certificates and keys now exist in "/etc/kubernetes/pki"
[kubeconfig] Using existing up-to-date KubeConfig file: "/etc/kubernetes/admin.conf"
[kubeconfig] Using existing up-to-date KubeConfig file: "/etc/kubernetes/kubelet.conf"
[kubeconfig] Using existing up-to-date KubeConfig file: "/etc/kubernetes/controller-manager.conf"
[kubeconfig] Using existing up-to-date KubeConfig file: "/etc/kubernetes/scheduler.conf"


如果master爲多個節點,拷貝/etc/kubernetes/pki 目錄下所有文件到其他master節點,參考4步驟生成admin.conf,kubelet.conf,controller-manager.conf,scheduler.conf配置文件.


master爲多個節點 建議使用 --config 初始化集羣,但是官網提示:Caution: The config file is still considered alpha and may change in future versions.

參考:https://kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm-init/


config.yaml 文件,參考如下:

apiVersion: kubeadm.k8s.io/v1alpha1
kind: MasterConfiguration
kubernetesVersion: v1.10.4
networking:
  podSubnet: 10.244.0.0/16
apiServerCertSANs:  #master節點主機名及ip地址
- k8s01
- k8s02
- k8s03
- 172.16.50.131
- 172.16.50.132
- 172.16.50.104
- 172.16.50.227
apiServerExtraArgs:
  endpoint-reconciler-type: "lease"
etcd:
  endpoints: # etcd集羣地址
  - http://172.16.50.131:2379
  - http://172.16.50.132:2379
  - http://172.16.50.133:2379
token: "deed3a.b3542929fcbce0f0"
tokenTTL: "0"


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

爲kubernetes手動生成證書

重慶沙 2018-09-10 02:07:49

容器技術之Centos8安裝Docker

容器技術之Centos8安裝Docker 一、Docker簡介 Docker的手冊:https://docs.docker.com/install/linux/docker-ce/centos/ Docker 是一個開源/2463

易水墨龙吟 2020-07-08 06:13:19

大規模部署lxc容器遇到的若干問題

線程數控制 啓動線程過多會導致資源不足引發的lxc-start命令無法執行問題,到致大量容器只執行了lxc-copy,而無法真正運行。具體情況應視服務器硬件條件(cpu,內存--在本項目部署中主要瓶頸在於cpu)以及當前服務器狀態(當

GoodboyDan 2020-07-08 04:59:52

docker容器修改時區

apk add tzdata ln -sf /usr/share/zoneinfo/America/Chicago /etc/localtime  

坚持吧骚年 2020-07-06 19:48:20

快速認識K8S

Kubernetes 是一個跨主機集羣的 開源的容器調度平臺,它可以自動化應用容器的部署、擴展和操作 , 提供以容器爲中心的基礎架構。 使用 Kubernetes, 您可以快速高效地響應客戶需求: 快速、可預測地部署您的應用程序 擁有即時

云上笛暮 2020-07-03 10:53:58

Docker入門 總結

Docker 是什麼? 我們在理解 Docker 之前,首先得先區分清楚兩個概念,容器和虛擬機。 可能很多讀者朋友都用過虛擬機,而對容器這個概念比較的陌生。我們用的傳統虛擬機如 VMware , VisualBox 之類的需要模擬整臺機器

coco_1998_2 2020-07-03 06:50:14

Docker Registry 支持自建證書的Https訪問

Docker Registry 支持自建證書的Https訪問,需要以下幾個步驟: 一:創建一個自建域名證書。 二:創建支持HTTPS訪問的Registry。 三:配置自建域名的解析 四:配置Docker 支持自建域名證書 五:效果測試 開

不知名工程师某某某 2020-06-30 14:54:21

爲什麼容器技術(docker)將主宰世界,docker的意義

                      轉自:http://blog.csdn.net/gaoyingju/article/details/49616295 爲什麼容器技術將主宰世界 由於本文篇幅較長(我竟然寫了7千多字),爲了

一刀平 2020-06-28 06:11:41

windows下docker desktop的安裝和使用

在windows使用docker根據官方文檔安裝的是Docker Desktop。Docker desktop是Microsoft Windows的Docker的社區版本。 我們可以從Docker Hub下載適用於Windows的Dock

topEngineerray 2020-06-27 21:08:11

docker基礎知識總結[更新中]

什麼是docker? docker是容器化技術。 Docker 是一個開源的應用容器引擎,讓開發者可以打包他們的應用以及依賴包到一個可移植的鏡像中,然後發佈到任何流行的 Linux或Windows 機器上,也可以實現虛擬化。容器是完全使用

topEngineerray 2020-06-27 21:08:11

kubeadm join: couldn't validate the identity of the API Server

執行 kubeadm join 報如下錯誤: error execution phase preflight: couldn't validate the identity of the API Server: abort connec

shida_csdn 2020-06-27 20:53:54

Kube Proxy 工作模式對比分析

引言 Kube Proxy 是 Kubernetes 生態的核心組件之一,主要負責處理訪問 Service 的流量(包括通過 Cluster IP 以及 Node Port),自動將 Client 對 Kubernetes Ser

shida_csdn 2020-06-27 20:53:54

failed to decode cluster configuration data: no kind "ClusterConfiguration" is registered

kubeadm 執行 join 報如下錯誤: error execution phase preflight: unable to fetch the kubeadm-config ConfigMap: failed to decode

shida_csdn 2020-06-27 20:53:54

kubeadm 集羣初始化參數 pod-network-cidr 有什麼作用?

問題 kubeadm init 創建集羣時有個參數,即 pod-network-cidr,在以往使用過程中,不設置該參數似乎創建的集羣也能正常工作,那它究竟有什麼作用呢? 影響範圍 kubeadm 給出的參數釋義是: --pod-

shida_csdn 2020-06-27 20:53:54

Docker學習第三課 -- Dockerfile詳解

一、 什麼是dockerfile?      Dockerfile是一個包含用於組合映像的命令的文本文檔。可以使用在命令行中調用任何命令。 Docker通過讀取Dockerfile中的指令自動生成映像。 docker build命令用於從

坤仔1 2020-06-25 09:01:15