原创文章,欢迎转载。转载请注明:转载自它人故事会,谢谢!
引用>
原文链接地址:“高级篇“码头工人之kubernetes搭建集群添加认证授权(下)(39)接上次的继续认证版的k8搭建。
引用>
kubectl
准备证书
<代码类=" language-bash "> # kubectl证书放在这,由于kubectl相当于系统管理员,老铁使用admin命名 mkdir - p/etc/kubernetes/ca/admin #准备管理证书配置——kubectl只需客户端证书,因此证书请求中主机字段可以为空 cp ~/kubernetes-starter/目标/ca/admin/admin-csr。json/etc/kubernetes/ca/admin/cd/etc/kubernetes/ca/admin/#使用根证书(ca.pem)签管理证发书 cfssl gencert \ ca=/etc/kubernetes/ca/ca。pem \ -ca-key=/etc/kubernetes/ca/ca-key。pem \ 配置=/etc/kubernetes/ca/ca-config。json \ 形象=kubernetes admin-csr。json | cfssljson光秃秃的管理 #老铁最终要的是admin-key.pem和admin.pem ls 管理。csr admin-csr。json admin-key。pem admin.pem 代码>8.2配置kubectl h5>
<代码类=" language-bash "> #指定apiserver的地址和证书位置(ip自行修改) kubectl配置将集群kubernetes \ ——证书颁发机构=/etc/kubernetes/ca/ca。pem \ ——embed-certs=true \ ——服务器=https://192.168.68.101:6443 #设置客户端认证参数,指定管理证书和秘钥 kubectl配置设置凭据管理\ ——客户端证书=/etc/kubernetes/ca/admin/admin。pem \ ——embed-certs=true \ ——client-key=/etc/kubernetes/ca/admin/admin-key.pem #关联用户和集群 kubectl配置设置上下文kubernetes \ ——集群=kubernetes用户=admin #设置当前上下文 kubectl配置使用环境kubernetes #设置结果就是一个配置文件,可以看看内容 猫~/.kube/配置代码><强>验证主节点强>
<代码类=" language-bash "> #可以使用刚配置好的kubectl查看一下组件状态 kubectl得到componentstatus 代码>
calico-node(主节点生成证书,102103年通过scp拷贝过去)
准备证书
后续可以看到白布证书用在四个地方:
<李>棉布/节点这个码头工人容器运行时访问etcd使用证书李> <李>有限公司配置文件中,参股了插件需要访问etcd使用证书李> <李> calicoctl操作集群网络时访问etcd使用证书李> <李>棉布/kube-controllers同步集群网络策略时访问etcd使用证书
<代码类=" language-bash "> #棉布证书放在这 mkdir - p/etc/kubernetes/ca/calico #准备棉布证书配置——印花只需客户端证书,因此证书请求中主机字段可以为空 cp ~/kubernetes-starter/目标/ca/印花/calico-csr。json/etc/kubernetes/ca/calico/cd/etc/kubernetes/ca/calico/#使用根证书(ca.pem)签发印花棉布证书 cfssl gencert \ ca=/etc/kubernetes/ca/ca。pem \ -ca-key=/etc/kubernetes/ca/ca-key。pem \ 配置=/etc/kubernetes/ca/ca-config。json \ 形象=kubernetes calico-csr。json | cfssljson光秃秃的印花棉布 #老铁最终要的是calico-key.pem和calico.pem ls 代码>李>
拷贝主节点证书棉布h5>
由于棉布服务是所有节点都需要启动的,需要把这几个文件拷贝到每台服务器上
* *通过主节点拷贝到102103两台机器上<代码类=" language-bash "> #根的密码都是流浪汉 scp - r/etc/kubernetes/ca/root@192.168.68.102:/etc/kubernetes/ca/scp - r/etc/kubernetes/ca/root@192.168.68.103:/etc/kubernetes/ca/代码>
“高级篇“码头工人之kubernetes搭建集群添加认证授权(下)(39)