溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
一、設備kube-apiserver的CA正式相關的文件和啟動參數
openssl genrsa -out ca.key 2048
openssl req x509 -new nodes -key ca.key -subj "/CN=yourcompany.com" -days 5000 -out ca.crt
opensll genrsa -out server.key 2048
二、準備master_ssl.conf文件 該文件用于x509 v3版本的證書
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[v3_req]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = kubernetes
DNS.2 = kubernetes.default
DNS.3 = kubernetes.default.svc
DNS.4 = kubernetes.default.svc.cluster.local
DNS.5 = k8s-master (服務器的hostname)
IP.1 = 169.169.0.1 (svc的cluster ip)
IP.2 = 192.168.01. (node的IP)
三、基于maste_ssl.conf 創建server.csr和server.crt文件 在生成server.csr是 -subj的參數中“/CN”指定的文件是master的主機名
openssl req -new -key server.key -subj "/CN=k8s-master" -config master_ssl.conf -out server.csr
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 5000 -extensions v3_req -extfile master_ssl.conf -out server.crt
全部執行完后會生產6個文件:ca.crt ca.key ca.srl server.crt server.csr server.key
四、把生產的6個文件cp到一個目錄中,然后設置kube-apiserver的三個啟動參數
--client-ca-file=ca.crt --tls-cert-file=server.key --tls-private-key-file=server.crt
五、關閉非安全端口--insecure-port=0 --secure-port=6443 重啟kube-apiserver
六、設置kube-controller-manager的客戶端證書、私鑰、啟動參數
openssl genrsa -out cs_client.key 2048
openssl req -new -key cs_client.key -subj "/CN=k8s-node-1" -out cs_client.csr
openssl x509 -req -in cs_client.csr -CA ca.crt -CAkey ca.key --CAcreateserial -days 5000 -out cs_client.crt
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
