kubernetes个人笔记（一）

一、证书工具

CFSSL keytools，openssl

1、介绍

CFSSL is CloudFlare's PKI/TLS swiss army knife. It is both a command line tool and an HTTP API server for signing, verifying, and bundling TLS certificates. It requires Go 1.12+ to build

安装这里不再赘述：yum或者源码编译安装。主要有三个工具：cfssl、cfssljson、cfssl-certinfo

证书编码结构：

PEM(Privacy Enhanced Mail)，通常用于数字证书认证机构（Certificate Authorities，CA），扩展名为.pem, .crt, .cer, 和 .key。内容为Base64编码的ASCII码文件，有类似"-----BEGIN CERTIFICATE-----" 和 "-----END CERTIFICATE-----"的头尾标记

DER(Distinguished Encoding Rules)，与PEM不同之处在于其使用二进制而不是Base64编码的ASCII。扩展名为.der，但也经常使用.cer用作扩展名，所有类型的认证证书和私钥都可以存储为DER格式

CSR(Certificate Signing Request)，它是客户端向CA机构申请数字×××书时使用的请求文件

注意：keytools也可以进行使用jdk自带的工具，也可以生成证书

2、安装

Git地址：https://github.com/cloudflare/cfssl

二进制下载：https://pkg.cfssl.org/

工具包：

cfssl：使用CFSSL包的规范命令行实用程序

cfssljson：同cfssl bundle

cfssl-newkey：

multirootca：可以使用多个签名密钥的证书颁发机构服务器

mkbundle：生成证书池绑定

3、命令行介绍

cfssl:

genkey generate a private key and a certificate request

gencert generate a private key and a certificate

gencrl generate a new Certificate Revocation List

sign             signs a certificate
serve            start the API server
revoke			 revoke a certificate in the certificate store

selfsign         generates a self-signed certificate
print-defaults   print default configurations

certinfo		 output certinfo about the given cert
info			 get info about a remote signer
version          prints out the current version

​

​

​

​

签名：

​ cfssl sign [-ca cert] [-ca-key key] [-hostname comma,separated,hostnames] csr [subject]

​

​ ca和ca-key:是ca的证书和ca的私钥，默认为ca.pem和ca_key.pem

​ hostname:逗号分隔的主机名列表

​ csr:客户端签署请求

​ subject:可选选项

​

​ 示例：cfssl sign -ca /etc/ssl/certs/cfssl.pem -ca-key /etc/ssl/private/cfssl_key.pem -hostname cloudflare.com ./cloudflare.pem #签署cloudflare.pem公司证书cloudflare.com网站

​

3、命令详解

1)命令1:print-defaults csr

[root@master tmp]# cfssl print-defaults csr #如下为修改后的内容ca-csr.json

{

"CN": "kubernetes",

"key": {

"algo": "rsa",

"size": 2048

},

"names": [

{

"C": "CN",

"ST": "HangZhou",

"L": "HangZhou",

"O": "k8s",

"OU": "FirstOne"

}

],

"ca": {

"expiry": "26280h"

}

}

(CN)Common Name: kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name)，浏览器使用该字段验证网站是否合法；

O：Organization，kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group)； kube-apiserver 将提取的 User、Group 作为 RBAC 授权的用户标识；

C = 国家

ST = 州，省

L = 城市

O = 组织名称/公司名称

OU = 组织单位/公司部门

2)命令2:print-defaults config

[root@master tmp]# cfssl print-defaults config #如下为修改后的内容ca-csr.json

{

"signing": {

"default": {

"expiry": "26280h"

},

"profiles": {

"kubernetes": {

"usages": [

"signing",

"key encipherment",

"server auth",

"client auth"

],

"expiry": "26280h"

}

}

}

}

策略说明：

profiles：可以定义多个 ，分别指定不同的过期时间、使用场景等参数

signing：表示证书可用于签名其它证书,生成的 ca.pem 证书中CA=TRUE;

server auth：表示client可以用该该证书对 server 提供的证书进行验证;

client auth：表示server可以用该该证书对 client 提供的证书进行验证;

3、包含功能：

二、网络插件

1、flannel

2、calico

3、处理cni还有cnm？

三、etcd

常用命令接口

可视化工具

四、docker

镜像

编排

常用命令和参数