Kubernetes(三)集群环境规划&部署Docker&签发证书

  • A+
所属分类:Kubernetes

环境准备

主机名       IP地址            操作系统
master01     192.168.20.211    CentOS Linux release 7.6.1810 (Core) 
node01       192.168.20.212
node02       192.168.20.213

禁止selinux以及防火墙

setenforce 0
systemctl stop firewalld
systemctl disable firewalld

配置ntp时间同步

*/5 * * * * /usr/sbin/ntpdate ntp.aliyun.com >/dev/null 2>&1

将系统时区改为上海时间(即CST时区)

ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime

配置网络

[root@k8s-node01 ~]# cat /etc/sysconfig/network-scripts/ifcfg-ens33 
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens33
UUID=b0bd91ab-08ef-46bb-b8d7-d83990ff3327
DEVICE=ens33
ONBOOT=yes
IPADDR0=192.168.20.212
PREFIXO0=24
GATEWAY0=192.168.20.2
DNS1=192.168.20.2
DNS2=8.8.8.8
systemctl restart network

修改主机名

hostnamectl set-hostname k8s-master
hostnamectl set-hostname k8s-node01
hostnamectl set-hostname k8s-node02

cat /etc/hostname
ping baidu.com

master和node做SSH免认证

Master执行一路回车

[root@k8s-master tools]# ssh-keygen

node节点分发密钥

cd /root/.ssh/
ssh-copy-id root@192.168.20.212
ssh-copy-id root@192.168.20.213

master hosts绑定node主机名

192.168.20.212 k8s-node01
192.168.20.213 k8s-node02

安装Docker

可以把master和node节点都部署docker

安装依赖包

yum install -y yum-utils device-mapper-persistent-data lv

添加Docker软件包源

yum-config-manager \
--add-repo \
https://download.docker.com/linux/centos/docker-ce.repo

更新yum包索引

yum makecache fast

安装Docker CE

yum install docker-ce

启动

systemctl start docker
systemctl enable docker

查看开机自启动

systemctl list-unit-files|grep docker

docker改国内官方镜像

cat << EOF > /etc/docker/daemon.json
{
 "registry-mirrors": ["https://registry.docker-cn.com"]
}
EOF

如果增加私有仓库Registry,再加上insecure-registries地址

vim /etc/docker/daemon.json
{
"registry-mirrors": [ "https://registry.docker-cn.com"],
"insecure-registries":["192.168.0.210:5000"]
}

卸载docker

yum remove docker-ce
rm -rf /var/lib/docker

自签TLS证书

从k8s的1.8版本开始,K8S系统各组件需要使用TLS证书对通信进行加密。每一个K8S集群都需要独立的CA证书体系。CA证书有以下三种:easyrsa、openssl、cfssl。这里使用cfssl证书,也是目前使用最多的,相对来说配置简单一些,通过json的格式,把证书相关的东西配置进去即可。这里使用cfssl的版本为1.2版本。

[root@k8s-master ~]# mkdir ssl && cd /root/ssl
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x cfssl_linux-amd64 cfssljson_linux-amd64 cfssl-certinfo_linux-amd64
mv cfssl_linux-amd64 /usr/local/bin/cfssl
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
mv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo

生成ca证书

cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}
EOF

cat > ca-csr.json <<EOF
{
"CN": "kubernetes",
"key": {
"algo": "rsa",
"size": 2048
},
"names": [{
"C": "CN",
"L": "Beijing",
"ST": "Beijing",
"O": "k8s",
"OU": "System"
}]
}
EOF
cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

查看ca证书

[root@k8s-master ssl]# ls ca*
ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem

生成server证书

注意配置node的ip,保留10.10.10.1和127.0.0.1

cat > server-csr.json <<EOF
{
    "CN": "kubernetes",
    "hosts": [
      "127.0.0.1",
      "192.168.20.211",
      "192.168.20.212",
      "192.168.20.213",
      "10.10.10.1",
      "kubernetes",
      "kubernetes.default",
      "kubernetes.default.svc",
      "kubernetes.default.svc.cluster",
      "kubernetes.default.svc.cluster.local"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing",
            "O": "k8s",
            "OU": "System"
        }
    ]
}
EOF

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes server-csr.json | cfssljson -bare server

查看server证书

[root@k8s-master ssl]# ls server*
server.csr  server-csr.json  server-key.pem  server.pem

生成admin证书

cat > admin-csr.json <<EOF
{
  "CN": "admin",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing",
      "O": "system:masters",
      "OU": "System"
    }
  ]
}
EOF
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin

查看admin证书

[root@k8s-master ssl]# ls admin*
admin.csr  admin-csr.json  admin-key.pem  admin.pem

生成kube-proxy证书

cat > kube-proxy-csr.json <<EOF
{
  "CN": "system:kube-proxy",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}
EOF
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy

查看kube-proxy证书

[root@k8s-master ssl]# ls kube-proxy*
kube-proxy.csr  kube-proxy-csr.json  kube-proxy-key.pem  kube-proxy.pem

全部生成完,只保留pem证书

[root@k8s-master ssl]# ls *.pem
[root@k8s-master ssl]# ls |grep -v pem|xargs -i rm {}
[root@k8s-master ssl]# ls
admin-key.pem  admin.pem  ca-key.pem  ca.pem  kube-proxy-key.pem  kube-proxy.pem  server-key.pem  server.pem

YaLei

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: