k8s 机器搭建之etcd
生成证书
k8s 集群内部通过https通信的,需要签发两个证书,一个给apiserver另一个给etcd。
由于是集群内部使用所以证书自己签发就可以,无需通过正规CA机构购买。证书生成工具有两种openssl 和 cfssl ,这里采用的是cfssl ,cfssl 是通过json 文件来生成证书的。
一、安装cfssl ,安装过程省略。
二、生成根CA证书
1、生成证书依据的配置文件
cat ca-config.json {
"signing": {
"default": {
"expiry": "87600h"
},
"profiles": {
"www": {
"expiry": "87600h", #有效期
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
]
}
}
}
}
2、用于生成根CA证书的请求文件cat ca-csr.json
{
"CN": "etcd CA",
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"L": "Beijing",
"ST": "Beijing"
}
]
}3、生成ca 根证书
cfssl gencert -initca ca-csr.json | cfssljson -bare ca -产生 ca-key.pem ca.pem三、生成etcd 证书
1、制作证书的请求文件[1 cert]# cat server-csr.json
{
"CN": "etcd",
"hosts": [
"10.10.118.161",
"10.10.118.164",
"10.10.118.165"
],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"L": "BeiJing",
"ST": "BeiJing"
}
]
}2、根据根CA证书和秘钥及证书请求文件生成etcd 的证书及秘钥cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare serveretcd 集群搭建
etcd 分布式机器,有主备节点之分,选举机制,为了高可用一般都是搭建集群,集群实例数必须是奇数,最小规模3 ,3个最多可以故障1个,5个最多可故障2个,7个最多可故障3个。
本地搭建用的是编译好的二进制文件以及配置[1 soft]# ls etcd
bin cfg ssl
[ soft]# ls etcd.service etcd.service
cat etcd/cfg/etcd.conf
#[Member]ETCD_NAME="etcd-1" #当前节点名字,名字不能重复ETCD_DATA_DIR="/var/lib/etcd/default.etcd"ETCD_LISTEN_PEER_URLS="https://10.10.118.161:2380" #当前机器ipETCD_LISTEN_CLIENT_URLS="https://10.10.118.161:2379"
#[Clustering]ETCD_INITIAL_ADVERTISE_PEER_URLS="https://10.10.118.161:2380"ETCD_ADVERTISE_CLIENT_URLS="https://10.10.118.161:2379"ETCD_INITIAL_CLUSTER="etcd-1=https://10.10.118.161:2380,etcd-2=https://10.10.118.162:2380,etcd-3=https://10.10.118.163:2380"ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster" #集群之间通信所用tokenETCD_INITIAL_CLUSTER_STATE="new" #新建,如果已经存在,再加入的话就是exsiting
cat etcd.service
[Unit]
Description=Etcd Server
After=network.target
After=network-online.target
Wants=network-online.target
[Service]
Type=notify
EnvironmentFile=/data/etcd/cfg/etcd.conf
ExecStart=/data/etcd/bin/etcd --name=${ETCD_NAME} --data-dir=${ETCD_DATA_DIR} --listen-peer-urls=${ETCD_LISTEN_PEER_URLS} --listen-client-urls=${ETCD_LISTEN_CLIENT_URLS},http://127.0.0.1:2379 \
--advertise-client-urls=${ETCD_ADVERTISE_CLIENT_URLS} --initial-advertise-peer-urls=${ETCD_INITIAL_ADVERTISE_PEER_URLS} --initial-cluster=${ETCD_INITIAL_CLUSTER} --initial-cluster-token=${ETCD_INITIAL_CLUSTER_TOKEN} --initial-cluster-state=new --cert-file=/data/etcd/ssl/server.pem --key-file=/data/etcd/ssl/server-key.pem --peer-cert-file=/data/etcd/ssl/server.pem --peer-key-file=/data/etcd/ssl/server-key.pem --trusted-ca-file=/data/etcd/ssl/ca.pem --peer-trusted-ca-file=/data/etcd/ssl/ca.pem
Restart=on-failure
LimitNOFILE=65536
[Install]
WantedBy=multi-user.target创建目录,移动文件(三个机器都重复下面操作,注意每个节点配置文件中Ip 更改,以及节点名字更改)
mkdir /data/mv etcd /data/mv etcd.service /usr/lib/systemd/system/etcd.servicesystemctl daemon-reloadsystemctl start etcd #启动第一个会卡主,因为在寻找其他节点,启动第二个后就会正常了把之前生成的秘钥证书复制到ssl 目录
检查机器是否正常
/data/etcd/bin/etcdctl --cert-file=/data/etcd/ssl/ca.pem --cert-file=/data/etcd/ssl/server.pem --key-file=/data/etcd/ssl/server-key.pem --endpoints="https://10.10.118.161:2379,https://10.10.118.164:2379,https://10.10.118.165:2379" cluster-health
相关推荐
CurrentJ 2020-08-18
###host字段指定授权使用该证书的etcd节点IP或子网列表,需要将etcd集群的3个节点都添加其中。cp etcd-v3.3.13-linux-amd64/etcd* /opt/k8s/bin/
xiunai 2020-07-04
微微一笑 2020-06-12
CurrentJ 2020-06-06
JustHaveTry 2020-07-17
Dannyvon 2020-07-13
breezegao 2020-07-02
微微一笑 2020-06-14
lenchio 2020-06-04
微微一笑 2020-06-03
工作中的点点滴滴 2020-06-01
Rcvisual 2020-05-28
Dannyvon 2020-05-28
微微一笑 2020-05-26
wishli 2020-05-19
工作中的点点滴滴 2020-05-14
cloudinyachao 2020-05-08