爲etcd和Kubernetes服務啓用基於CA認證的安全機制,需要CA證書進行配置。
如果組織能夠提供統一的CA認證中心,則直接使用組織頒發的CA證書即可。如果沒有統一的CA認證中心,則可以通過頒發自簽名的CA證書來完成安全配置。
如下以通過頒發自簽名的CA證書來完成安全配置。
etcd和Kubernetes在製作CA證書時,均需要基於CA根證書。
創建CA根證書:
openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -subj "/CN=192.168.3.135" -days 36500 -out ca.crt
參數如下:
-subj
:“/CN”的值爲Master主機名或IP地址,如果這裏使用了Master主機的主機名,則需要手動配置/etc/hosts
-days
:設置證書的有效期
將生成的ca.key
和ca.crt
文件保存在/etc/kubernetes/pki
目錄下。