19 个月拉锯战,诺基亚终于完成对阿朗 100% 的股权收购
06-18
自建高可用k8s集群前端概念和操作1.内核升级3.10内核在大规模集群下不稳定升级内核到4.19+ 代码语言:javascript copy # 查看内核版本 uname -sr # 0. 升级软件包,不升级内核 yum update -y --exclude=kernel*# 1. 下载公钥 rpm - -import -Uvh 安装镜像加速 yum install -y yum-plugin-fastestmirror# 3.仓库启用后,列出可用的内核相关包: yum --disablerepo="*" --enablerepo="elrepo-kernel" list available kernel-lt: long term support: 长期支持版本 kernel-ml: mainline stable: 主线稳定版本# 4. 选择自己的版本安装 5.4.1.el7.elrepoyum --enablerepo=elrepo-kernel install -y kernel-lt# 5.查看内核 uname -sr#查看内核位置 awk -F\' '$1=="menuentry " {print $2}' /etc/grub2.cfgCentOS Linux 7 Rescue 0a0b6fe79acece (5.4.1.el7 .elrepo.x86_64) #0th CentOS Linux (5.4.1.el7.elrepo.x86_64) 7 (Core) ##我们的是第 1 个 CentOS Linux (3.10.0-.el7.x86_64) 7 (Core)CentOS Linux ( 0-rescue-cc2c86fe41e6a2ff6dc5d5daa) 7 (Core)# 6. 重新创建内核配置。grub2-mkconfig -o /boot/grub2/grub.cfg# 确认内核位置,修改默认内核# 7、修改并使用默认内核 vi /etc/default/grub# 将 GRUB_DEFAULT 设置为 0,代表GRUB初始化页面 第一个内核将作为默认内核 # 然后重新组织内核 grub2-mkconfig -o /boot/grub2/grub.cfg# 8. 重启reboot# 9. 检查中的uname -r 是否已更改为nf_conntrack kernel 4.19+版本 nf_conntrack_ipv4 ,4.18以下使用nf_conntrack_ipv4:sysctl -a 可以查看所有内核参数 2. k8s集群架构 k8s集群架构:master+node master:一旦宕机,k8s集群不可用。
但该节点上已运行的其他 Pod 可能仍在运行。一般也可以提供服务。
所有数据都保存到etcd(有状态)(存储数据的键值库。CP有保证),类似于ZK。
etcd可能会取代zk CAP:C一致性(6个redis,访问任何redis都可以得到相同的数据):A可用性; P分区容错。 Raft:一致性协议 中文动画:Raft分布式共识算法动画演示 Leader选举:Leader选举 Log Replication*日志复制。
筏一致集群最多允许 n/2(无论其余)机器,6/2 = 3(大多数幸存[n/2])和奇数机器(很快投票成功)。领导者可以通过多轮选出。
心跳速度决定了集群的一致性速度。 50ms 只要多数节点直接告诉leader节点日志已经生成了。
领导认为这次行动成功。 P 分区容错 一旦分区,就会出现裂脑问题。
如果出现多个领导者,他们将服从大多数节点所服从的领导者。除了etcd之外,k8s集群是无状态的。
3. cfssl 的使用 CFSSL 是 CloudFlare 的开源 PKI/TLS 工具。 CFSSL 包括一个命令行工具和一个用于签名、验证和捆绑 TLS 证书的 HTTP API 服务。
用Go语言编写。 Github地址:浏览kylw.6.com: 1.假冒网站直接使用6.com证书。
浏览器会根据这个CA组织暴露给世人的公钥(货币检测器(公钥))来解密证书,看看它属于哪个网站。如果与证书不符,则直接返回。
2、自制证书:浏览器会直接提示不安全。(未注册,无法联系法人) 1、集群相关证书类型 客户端证书:服务端用于对客户端进行认证,如etcdctl、etcd proxy、fleectl、docker客户端 服务端证书:服务端、客户端使用用这个来验证服务端身份,比如docker server、kube-apiserver对等证书:双向证书,用于etcd集群成员之间的通信。
证书根据认证对象可以分为三类:服务器证书server cert、客户端证书client cert、对等证书peer cert(表示既是服务器证书又是客户端证书。kubernetes集群中需要的证书类型如下:etcd节点需要标识它们所服务的服务器证书,也需要客户端证书来与etcd集群中的其他节点进行交互,当然,你可以单独指定2个证书,也可以使用对等证书,主节点需要识别 apiserver 服务的服务器证书,还需要客户端证书才能连接到 etcd 集群,这里,对等证书 kubectl calico kube-proxy 只需要客户端证书,因此证书中的主机字段。
request 可以为空 kubelet 证书比较特殊,不是手动生成的,是通过node节点的TLS BootStrap向apiserver请求的,由master节点的controller-manager自动颁发的。它包含客户端证书和服务器证书。
2、使用简单 2.1.创建CA配置文件,配置证书生成策略。 ,规定CA可以颁发什么类型的证书 代码语言:javascript copy vim /opt/ssl/k8sca/ca-config.json 代码语言:javascript copy { "signing": { "default": { "expiry": "0h " }, "配置文件": { "kubernetes": { "用法": [“签名”,“密钥加密”,“服务器身份验证”,“客户端身份验证”],“到期”:“0h”} } }}2.2。
创建 CA 证书签名请求 代码语言:javascript copy vim /opt/ssl/k8sca /ca-csr.json 代码语言:javascript copy {"CN": "kubernetes","key": { "algo": "rsa", "size": },"names": [ { "C": " CN", "L": "北京", "O": "kubernetes", "ST": "北京", "OU": "kubernetes “ } ]}2.3。生成生成CA所需的CA和私钥文件ca-key.pem(私钥)和ca.pem(证书),还生成ca.csr(证书签名请求)用于交叉签名或重新签名代码语言:javascript copy $ cd /opt/ssl/k8sca/$ cfssl gencert -initca ca-csr.json | cfssljson -bare ca$ lsca-config.json ca.csr ca-csr.json ca-key.pem ca。
pem3、cfssl 使用 CFSSL。它包括: 定制的 TLS PKI 工具 cfssl 程序,它是使用 CFSSL 包的规范命令行实用程序。
multirootca 程序,它是可以使用多个签名密钥的证书颁发机构服务器。 mkbundle 程序用于构建证书池捆绑包。
cfssljson 程序,它从 cfssl 和 multirootca 程序获取 JSON 输出,并将证书、密钥、CSR 和捆绑包写入磁盘。安装:到官网下载cfssl-certinfo_linux-amd64 cfssljson_linux-amd64 cfssl_linux- amd64 三组件代码语言:javascript copy#下载核心组件 wget +x cfssl*#批量重命名为`ls cfssl*`中的名称;执行 mv $name ${name%_1.5.0_linux_amd64}; done#Move to File mv cfssl* /usr/bin4、证书规划 5、证书生成和ca配置 客户端证书:用于服务器认证客户端,如etcdctl、etcd代理、fleectl、docker客户端 服务器证书:服务器使用,客户端这个验证服务端的身份,比如docker server,kube-apiserver对等证书:双向证书,用于etcd集群成员之间通信,创建ca配置文件(ca-config.json),相当于证书颁发机构“ca-config”的工作规章制度.json”:可以定义多个profile,分别指定不同的过期时间、使用场景等参数;稍后签署证书时使用某个配置文件; “signing”:表示该证书可以用来签署其他证书;生成的ca.pem证书中CA=TRUE; "server auth" :表示客户端可以使用这个CA来验证服务器提供的证书; “client auth”:表示服务器可以使用这个CA来验证客户端提供的证书;代码语言:javascript copy vi ca-config.json 代码语言:javascript copy { "signing": { "default": { "expiry": "0h" }, "profiles": { "server": { "expiry": "0h", "usages": [ "签名", "密钥加密", "服务器身份验证" ] }, "客户端": { "expiry": "0h", "usages": ["signing", "key encipherment", "client auth" ] }, "peer": { "expiry": "0h", "usages": [ "signing", "key encipherment", "server auth", "client auth" ] }, "kubernetes": { "expiry": "0h", "usages": [ "签名", "密钥加密", "服务器身份验证", "客户端身份验证" ] }, "etcd": { "到期": "0h", "用法": [ "signing", "key encipherment", "server auth", "client auth" ] } } }}csr.json 我们自己准备证书申请请求证书颁发机构将根据我们的要求颁发证书。
代码语言: javascript copy cfssl print-defaultscfssl print-defaults csr #使用该命令打印模板 代码语言: javascript copy { "CN": "example.net", //浏览器验证该字段是否合法,通常域名非常重要。 “主机”:[“example.net”,“密钥”:{“algo”:“ecdsa”,“大小”:},“名称”:[{“C”:“ US", "ST": "CA", "L": "San Francisco" } ]}创建 ca 证书签名 (ca-csr.json) "CN": Common Name ,作为请求的用户从证书中提取此字段姓名(用户名);浏览器使用该字段来验证网站是否合法; “O”:组织,从证书中提取该字段作为请求用户所属的组(Group);这两个参数在后面kubernetes开启RBAC模式的时候非常重要,因为需要设置kubelet、admin等角色权限,所以在配置证书的时候一定要正确配置。
这个后面部署kubernetes的时候会解释。 “etcd中这两个参数意义不大,按照配置即可。
" 代码语言:javascript copy vi ca-csr.json 代码语言:javascript copy { "CN": "SelfSignedCa", "key": { "algo": "rsa", "size": }, "names": [ { "C": "CN", "L": "shanghai", "O": "cfssl", "ST": "shanghai", "OU": "System" } ]} 生成ca证书和私钥代码语言: javascript copy cfssl gencert -initca ca-csr.json | cfssljson -bare ca -# ca.csr ca.pem (ca 公钥) ca-key.pem (ca 私钥,请妥善保管) 创建 etcd 证书签名 ( etcd -csr.json) 代码语言:javascript copy vi etcd-csr.json 代码语言:javascript copy { "CN": "etcd", "key": { "algo": "rsa", "size": }, " 名称": [ { "C": "CN", "L": "上海", "O": "etcd", "ST": "shanghai", "OU": "System" } ]} 代码语言: javascript copy # 生成etcd证书 cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=etcd etcd-csr.json | cfssljson -bare etcd#etcd.csr etcd-csr.json etcd-key.pem(etcd 私钥)etcd.pem(etcd 公钥)创建kubernetes 证书签名 (kubernetes-csr.json) 代码语言:javascript copy vi kubernetes-csr.json 代码语言:javascript copy { "CN": "kubernetes", "key": { "algo": "rsa", "size ": }, "names": [ { "C": "CN", "L": "上海", "O": "kubernetes", "ST": "上海", "OU": "系统" } ]} 代码语言:javascript copy # 生成k8s证书 cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kuberneteskubernetes-csr.json | cfssljson -bare kubernetes# kubernetes.csr kubernetes-key.pem kubernetes.pem 最终验证证书合适 代码语言:javascript copy openssl x-in ca.pem -text -noout openssl x-in etcd。
版权声明:本文内容由互联网用户自发贡献,本站不拥有所有权,不承担相关法律责任。如果发现本站有涉嫌抄袭的内容,欢迎发送邮件 举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。
标签:
相关文章
06-17
06-21
06-18
06-18
06-17
06-17
最新文章
【玩转GPU】ControlNet初学者生存指南
【实战】获取小程序中用户的城市信息(附源码)
包雪雪简单介绍Vue.js:开学
Go进阶:使用Gin框架简单实现服务端渲染
线程池介绍及实际案例分享
JMeter 注释 18 - JMeter 常用配置组件介绍
基于Sentry的大数据权限解决方案
【云+社区年度征文集】GPE监控介绍及使用