[TOC]
当使用kubeadm安装高可用k8s集群时,etcd集群会有多个节点。客户端访问etcd时,使用https协议,同时客户端需要携带身份凭证;etcd节点之间相互通信使用https协议,同时也需要进行身份凭证。etcd的2379与2380端口的认证方式均为x509客户证书认证。
先看peer之间的通信所需要的参数。
2380端口提供HTTPS服务,需要`peer-server.key`与`peer-server.crt`;etcd节点使用HTTPS连接其他的etcd节点时需要一个`https-to-peer_ca.crt`,同时还需要携带身份凭证`peer-credential.key`与`peer-credential.crt`;etcd节点要能够带来自peer的请求进行认证,需要一个`peer-authentication_ca.crt`。
所以,在peer之间的通信上,etcd所需要的参数有:
```
peer-server.key
peer-server.crt
https-to-peer_ca.crt
peer-credential.key
peer-credential.crt
peer-authentication_ca.crt
```
接下来,我们再来分析2379端口需要的参数。
2379端口提供HTTPS服务时需要两个参数`client-server.key`与`client-server.crt`;2379端口认证来自apiserver的请求所携带的身份凭证时需要一个`client-authentication_ca.crt`,即2379端口需要的参数为
```
client-server.key
client-server.crt
client-authentication_ca.crt
```
接下来,我们给出kubeadm安装高可用集群时etcd的启动参数,如下:
```
etcd \
--client-cert-auth=true \ # 开启2379端口的client-cert认证
--key-file=/etc/kubernetes/pki/etcd/server.key \ # 2379端口提供https服务所需要的key,对应上面的clietn-server.key
--cert-file=/etc/kubernetes/pki/etcd/server.crt \ # 2379端口提供https服务所需要的cert,对应上面的client-server.crt
--trusted-ca-file=/etc/kubernetes/pki/etcd/ca.crt \ # 2379端口认证请求所携带的身份凭证所使用的CA证书,对应上面的client-authentication_ca.crt
...
--peer-client-cert-auth=true \ # 开启2379端口的client-cert认证
--peer-key-file=/etc/kubernetes/pki/etcd/peer.key \ # 2380端口提供https服务所需要的key以及该etcd节点访问其他peer节点所需要的身份凭证,对应上面的peer-server.key
及peer-credential.key
--peer-cert-file=/etc/kubernetes/pki/etcd/peer.crt \ # 2380端口提供https服务所需要的cert以及该etcd节点访问其他peer节点所需要的身份凭证,对应上面的peer-server.crt
及peer-credential.crt
--peer-trusted-ca-file=/etc/kubernetes/pki/etcd/ca.crt \ # 2380端口认证其他peer请求所携带的身份凭证所使用的CA证书,对应上面的peer-authentication_ca.crt
...
```
我们先直接给出上面这些key与证书文件需要满足的条件
**第一:每个etcd节点上的server.crt与peer.crt都是被自已节点上的ca.key与ca.crt签署的** **第二:每个etcd节点上所使用的ca.key与ca.crt必须是一样的** **第三:每个etcd节点上的server.key、server.crt、peer.key、peer.crt不需要一样** **第四:server.crt与peer.crt中的域名内容必须包含本机的IP,且server.crt必须包含域名127.0.0.1**
先来看第一点:当创建第一个节点A时,A上的server.crt与peer.crt只可能被自已节点上的ca.crt与ca.key签署
再来看第二点:当B访问A时,B上的`ca.crt`会验证A的`peer.crt`以建立HTTPS连接,所以A上的`peer.crt`是由B上`ca.crt`签署;而A肯定是被自已节点上的`ca.crt`签署的,所以B上的`ca.crt`和A上的肯定是一样的
再看第三点:
先看peer.crt与peer.key:当B访问A时,B上的ca.crt能验证A的peer.crt,所以HTTPS能连接成功;B携带的peer.crt也能被A用ca.crt认证成功;A的2380端口提供的HTTPS服务,对方访问时无须使用A中peer.crt中的域名;所以每个节点peer.key与peer.crt内容不需要一样,只要是被ca.crt签署的即可。
第四点:原因是HTTPS连接过程中,客户端会验证服务端证书中的域名是否与自已请求的域名一致。
- 常用命令
- 安装
- 安装Kubeadm
- 安装单Master集群
- 安装高可用集群(手动分发证书)
- 安装高可用集群(自动分发证书)
- 启动参数解析
- certificate-key
- ETCD相关参数
- Kubernetes端口汇总
- 安装IPv4-IPv6双栈集群
- 下载二进制文件
- 使用Kata容器
- 快速安装shell脚本
- 存储
- 实践
- Ceph-RBD实践
- CephFS实践
- 对象存储
- 阿里云CSI
- CSI
- 安全
- 认证与授权
- 认证
- 认证-实践
- 授权
- ServiceAccount
- NodeAuthorizor
- TLS bootstrapping
- Kubelet的认证
- 准入控制
- 准入控制示例
- Pod安全上下文
- Selinux-Seccomp-Capabilities
- 给容器配置安全上下文
- PodSecurityPolicy
- K8S-1.8手动开启认证与授权
- Helm
- Helm命令
- Chart
- 快速入门
- 内置对象
- 模板函数与管道
- 模板函数列表
- 流程控制
- Chart依赖
- Repository
- 开源的Chart包
- CRD
- CRD入门
- 工作负载
- Pod
- Pod的重启策略
- Container
- 探针
- 工作负载的状态
- 有状态服务
- 网络插件
- Multus
- Calico+Flannel
- 容器网络限速
- 自研网络插件
- 设计文档
- Cilium
- 安装Cilium
- Calico
- Calico-FAQ
- IPAM
- Whereabouts
- 控制平面与Pod网络分开
- 重新编译
- 编译kubeadm
- 编译kubeadm-1.23
- 资源预留
- 资源预留简介
- imagefs与nodefs
- 资源预留 vs 驱逐 vs OOM
- 负载均衡
- 灰度与蓝绿
- Ingress的TLS
- 多个NginxIngressController实例
- Service的会话亲和
- CNI实践
- CNI规范
- 使用cnitool模拟调用
- CNI快速入门
- 性能测试
- 性能测试简介
- 制作kubemark镜像
- 使用clusterloader2进行性能测试
- 编译clusterloader2二进制文件
- 搭建性能测试环境
- 运行density测试
- 运行load测试
- 参数调优
- Measurement
- TestMetrics
- EtcdMetrics
- SLOMeasurement
- PrometheusMeasurement
- APIResponsivenessPrometheus
- PodStartupLatency
- FAQ
- 调度
- 亲和性与反亲和性
- GPU
- HPA
- 命名规范
- 可信云认证
- 磁盘限速
- Virtual-kubelet
- VK思路整理
- Kubebuilder
- FAQ
- 阿里云日志服务SLS