一、在根证书服务器上创建基于根证书的配置配置文件
<代码> 200确实的事情]# cd/opt/证书/200确实的事情]# vi/opt/证书/ca-config.json
{
“签署”:{
“默认”:{
“到期”:“175200 h”
},
“简介”:{
"服务器":{
“到期”:“175200 h”,
“用法”:(
“签名”,
“关键加密”,
“服务器身份验证”
]
},
"客户":{
“到期”:“175200 h”,
“用法”:(
“签名”,
“关键加密”,
“客户端身份验证”
]
},
"对等":{
“到期”:“175200 h”,
“用法”:(
“签名”,
“关键加密”,
“服务器身份验证”,
“客户端身份验证”
]
}
}
}
}代码>
二、创建etcd自签证书签名请求csr的json配置文件
<代码> 200 # vi etcd-peer-csr.json确实的事情)
{
“CN”:“k8s-etcd”,
“主机”:(
“10.3.153.212”,
“10.3.153.221”,
“10.3.153.222”
),
“关键”:{
“算法”:“rsa”,
“大小”:2048
},
“名称”:[
{
“C”:“CN”,
“圣”:“北京”,
“L”:“北京”,
“O”:“od”,
“你”:“行动”
}
]
}
200确实的事情]# cfssl gencert ca=ca。pem -ca-key=ca-key。pem配置=ca-config。json文件=同行etcd-peer-csr。json | cfssl-json裸etcd-peer
[root@test-operator证书]# | grep etcd-peer
-rw-r - r - 1根根1062年2月1日00:19 etcd-peer.csr
-rw-r - r - 1根根375 2月1今日etcd-peer-csr.json
- - - - - - - - 1根根1675年2月1日00:19 etcd-peer-key。pem #证书私钥
-rw-r - r - 1根根1428年2月1日00:19 etcd-peer。pem #证书文件代码>
三,分别在三台主机上安装etcd服务
<代码> # 212/221/222机器:
~ # mkdir/opt/src
~ # cd/opt/src/src) # useradd - s/sbin/nologin - m etcd
etcd src) # id
#到GitHub下载或者直接用我给得安装包https://github.com/etcd-io/etcd/tags
src) # tar xf etcd-v3.1.20-linux-amd64.tar。广州- c/opt
选择]# mv etcd-v3.1.20-linux-amd64/etcd-v3.1.20
选择]# ln - s/opt/etcd-v3.1.20//opt/etcd
选择]# cd etcd
~~~
~~~
# 212/221/222机器:
etcd] # mkdir - p/opt/etcd/证书/数据/etcd/数据/日志/etcd-server
etcd] #/cd的证书
确实的事情]# scp 10.3.153.200:/opt/证书/ca。pem。
200 #输入虚机密码
确实的事情]# scp 10.3.153.200:/opt/组/etcd-peer。pem。
确实的事情]# scp 10.3.153.200:/opt/组/etcd-peer-key。pem。
确实的事情]# cd . .
etcd] # vi/opt/etcd/etcd-server-startup.sh
#注意,如果是21日机器,这下面得12都得改成21日initial-cluster则是全部机器都有,不需要改,一共5处
# !/bin/sh
etcd-server-7-12 \。/etcd——名称
——data-dir/数据/etcd/etcd-server \
——listen-peer-urls https://10.3.153.212:2380 \
——listen-client-urls https://10.3.153.212:2379, http://127.0.0.1:2379 \
——quota-backend-bytes 8000000000 \
——initial-advertise-peer-urls https://10.3.153.212:2380 \
——advertise-client-urls https://10.4.7.12:2379, http://127.0.0.1:2379 \
——initial-cluster etcd-server-7-12=https://10.3.153.212:2380, etcd-server-7-21=https://10.3.153.221:2380, https://10.3.153.222:2380 \ etcd-server-7-22=猚a-file。/证书/ca。pem \
——cert-file。/证书/etcd-peer。pem \
——密钥文件/证书/etcd-peer-key。pem \
——client-cert-auth \
——trusted-ca-file。/证书/ca。pem \
——peer-ca-file。/证书/ca。pem \
——peer-cert-file。/证书/etcd-peer。pem \
——peer-key-file。/证书/etcd-peer-key。pem \
——peer-client-cert-auth \
——peer-trusted-ca-file。/证书/ca。pem \
——日志输出stdout
etcd] # chmod + x etcd-server-startup.sh
etcd] #乔恩- r etcd。etcd/opt/etcd-v3.1.20/etcd] #乔恩- r etcd。etcd/数据/etcd/etcd] #乔恩- r etcd。etcd/数据/logs/etcd-server/~~~
~~~
# 212/221/222机器:
etcd] # yum安装主管- y #用于把服务以后台服务启动
etcd] # systemctl supervisord开始
etcd] # systemctl启用supervisord
# vi/etc/supervisord.d/etcd-server.ini etcd)
#注意修改下面得广州对应上机器,如21机器就是7-21,一共一处
(项目:etcd-server-7-12)
命令=/opt/etcd/etcd-server-startup。sh;程序(使用相对路径,可以带参数)
numprocs=1;份开始的进程数量(def 1)
目录=/opt/etcd;慢性消耗病目录之前exec (def没有慢性消耗病)
自动启动=true;从supervisord开始(默认值:true)
autorestart=true;在意外退出retstart(默认值:true)
startsecs=30;数秒食物必须保持运行(def。1)
startretries=3;马克斯#系列开始的失败(默认3)
exitcodes=0, 2;“预期”退出代码过程(默认值0,2)
stopsignal=辞职;信号用于杀死进程(默认)
stopwaitsecs=10;马克斯num秒等待b4 SIGKILL(默认10)
用户=etcd;setuid UNIX帐户来运行程序
redirect_stderr=true;proc stderr重定向到标准输出(默认错误)
stdout_logfile=/数据/日志/etcd-server/etcd.stdout。日志;stdout日志路径,没有;默认的汽车
stdout_logfile_maxbytes=64 mb;马克斯#日志文件字节b4旋转(默认50 mb)
stdout_logfile_backups=4;10 #标准输出的日志文件备份(默认)
stdout_capture_maxbytes=1 mb;在“capturemode”的字节数(默认0)
null
null
null
null
null
null
null
null
null
null
null
null
null
null
null
null
null
null
null
null
null
null
null
null