kubernetes集群安装指南:创建CA证书及相关组件证书密钥


在实际kubernetes应用场景中,集群内组件之间访问都是通过TLS双向认证安全访问,即https访问,所以在部署时,给kubernetes各个组件创建证书是必要的,这是因为没有https安全访问会导致集群间节点通信访问不安全,非法用户可以通过客户端操作,对集群资源非法操作,引起集群服务异常,甚至集群宕机。例如:非法操作etcd存储的数据,因此集群开启https访问双向认证是必要的。本安装文档为所有的组件生成证书文件,实际情况下也可以选择部分组件共用某个证书或不选择开启https访问。如:etcd、flannel共用apiserver组件证书或不启用https访问,controller-manager,scheduler也可以基于http访问;大多数情况下,kubernetes集群都是建立在自己的私有网络里,比如公有云vpc区域,自建数据中心等等,由于k8s所有相关组件都是需要TLS双向认证,合法证书开发云主机域名机构大多都是提供ssl单向认证证书,所以必须自建CA根证书,并生成相应的公钥和私钥根证书,可以通过openssl或cfssl创建CA证书,这里以cfssl为例:CA 证书是集群所有节点共享的,只需要创建一个 CA 证书,后续创建的所有证书都由它签名。CA 配置文件用于配置根证书的使用场景 (profile) 和具体参数 (usage,过期时间、服务端认证、客户端认证、加密等),后续在签名其它证书时需要指定特定场景。备注:证书创建内容基本完成,关于tls证书双向认证请自行查阅文档,创建完成证书后,还需要创建各组件认证文件,请参阅下一节:kubernetes集群安装指南:客户端安装及各组件认证文件创建

相关推荐: 深度解析Istio系列之流量控制篇

得益于良好的模块化设计,Istio的各个组件设计清晰,分工明确,几个大的组件之间甚至可以独立工作,所以接下来我们将逐一深入分析Istio的各个组件。本文首先详细分析一下我们最常用的流量管理功能所对应的模块——Pilot和Envoy。Istio基本架构图如下图所…

免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。

(0)
打赏 微信扫一扫 微信扫一扫
上一篇 05/14 10:09
下一篇 05/14 10:09

相关推荐