一、环境准备

环境总共 3 台虚拟机,系统为centos71个 master,2 个 etcd 节点,master 同时也作为 node 负载 pod,在分发证书等阶段将在另外一台主机上执行,该主机对集群内所有节点配置了 ssh 秘钥登录

IP 节点
192.168.0.153 master、node、etcd
192.168.0.154 master、node、etcd
192.168.0.164 master、node、etcd

由于 Etcd 和 Kubernetes 全部采用 TLS 通讯,所以先要生成 TLS 证书,证书生成工具采用 cfssl

二、证书相关处理

1、证书说明

证书名称 配置文件 用途
etcd-root-ca.pem etcd-root-ca-csr.json etcd 根 CA 证书
etcd.pem etcd-gencert.json、etcd-csr.json etcd 集群证书

2、CFSSL 工具安装

首先下载 cfssl,并给予可执行权限,然后扔到 PATH 目录下

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64

wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64

chmod +x cfssl_linux-amd64 cfssljson_linux-amd64

mv cfssl_linux-amd64 /usr/local/bin/cfssl

mv cfssljson_linux-amd64 /usr/local/bin/cfssljson

Etcd 证书生成所需配置文件如下:

  • etcd-root-ca-csr.json
  • {
    
   "key": {
    
     "algo": "rsa",
    
     "size":
    
   },
    
   "names": [
    
     {
    
       "O": "etcd",
    
       "OU": "etcd Security",
    
       "L": "Beijing",
    
       "ST": "Beijing",
    
       "C": "CN"
    
     }
    
   ],
    
   "CN": "etcd-root-ca"
    
}
  • etcd-gencert.json
  • {
    
  "signing": {
    
    "default": {
    
        "usages": [
    
          "signing",
    
          "key encipherment",
    
          "server auth",
    
          "client auth"
    
        ],
    
        "expiry": "87600h"
    
    }
    
  }
    
}
  • etcd-csr.json
  • {
    
  "key": {
    
    "algo": "rsa",
    
    "size":
    
  },
    
  "names": [
    
    {
    
      "O": "etcd",
    
      "OU": "etcd Security",
    
      "L": "Beijing",
    
      "ST": "Beijing",
    
      "C": "CN"
    
    }
    
  ],
    
  "CN": "etcd",
    
  "hosts": [
    
    "127.0.0.1",
    
    "localhost",
    
    "192.168.0.153",
    
    "192.168.0.154",
    
    "192.168.0.164",
    
    "master",
    
    "node1",
    
    "node2"
    
  ]
    
}

最后生成 Etcd 证书

cfssl gencert --initca=true etcd-root-ca-csr.json | cfssljson --bare etcd-root-ca

cfssl gencert --ca etcd-root-ca.pem --ca-key etcd-root-ca-key.pem --config etcd-gencert.json etcd-csr.json | cfssljson --bare etcd

生成的证书列表如下

三、部署 HA ETCD

安装前准备

关闭 selinux, setenforce 0

关闭防火墙, systemctl stop firewalld; iptables -F

ntpdate 时间同步

ntpdate time1.aliyun.com

1、安装 Etcd

以下操作都是在master节点上操作

ETCD 直接采用 rpm 安装,RPM 可以从 Fedora 官方仓库 获取 spec 文件自己 build,或者直接从 rpmFind 网站 搜索

#下载 rpm包

wget ftp://195.220.108.108/linux/fedora/linux/development/rawhide/Everything/x86_64/os/Packages/e/etcd-3.2.7-1.fc28.x86_64.rpm

#分发并安装

I="192.168.0.153 192.168.0.154 192.168.0.164"

for IP in $I; do

    scp etcd-3.2.-.fc28.x86_64.rpm root@$IP:~

    ssh root@$IP rpm -ivh etcd-3.2.-.fc28.x86_64.rpm

done

2、分发证书

I="192.168.0.153 192.168.0.154 192.168.0.164"

for IP in $I; do

    ssh root@$IP mkdir /etc/etcd/ssl/

    scp *.pem root@$IP:/etc/etcd/ssl/

    ssh root@$IP chown -R etcd:etcd /etc/etcd/ssl/

    ssh root@$IP chmod -R  /etc/etcd/

done

3、修改配置

rpm 安装好以后直接修改 /etc/etcd/etcd.conf 配置文件即可,其中单个节点配置如下(其他节点只是名字和 IP 不同)

# [member]
ETCD_NAME=etcd0
ETCD_DATA_DIR="/var/lib/etcd/etcd0.etcd"
ETCD_WAL_DIR="/var/lib/etcd/wal"
ETCD_SNAPSHOT_COUNT="100"
ETCD_HEARTBEAT_INTERVAL="100"
ETCD_ELECTION_TIMEOUT="1000"
ETCD_LISTEN_PEER_URLS="https://192.168.0.153:2380"
ETCD_LISTEN_CLIENT_URLS="https://192.168.0.153:2379,http://127.0.0.1:2379"
ETCD_MAX_SNAPSHOTS="5"
ETCD_MAX_WALS="5"
#ETCD_CORS=""

# [cluster]
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://192.168.0.153:2380"
# if you use different ETCD_NAME (e.g. test), set ETCD_INITIAL_CLUSTER value for this name, i.e. "test=http://..."
ETCD_INITIAL_CLUSTER="etcd0=https://192.168.0.153:2380,etcd1=https://192.168.0.154:2380,etcd2=https://192.168.0.164:2380"
ETCD_INITIAL_CLUSTER_STATE="new"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_ADVERTISE_CLIENT_URLS="https://192.168.0.153:2379"

#ETCD_DISCOVERY=""
#ETCD_DISCOVERY_SRV=""
#ETCD_DISCOVERY_FALLBACK="proxy"
#ETCD_DISCOVERY_PROXY=""
#ETCD_STRICT_RECONFIG_CHECK="false"
#ETCD_AUTO_COMPACTION_RETENTION="0"

# [proxy]
#ETCD_PROXY="off"/
#ETCD_PROXY_FAILURE_WAIT="5000"
#ETCD_PROXY_REFRESH_INTERVAL="30000"
#ETCD_PROXY_DIAL_TIMEOUT="1000"
#ETCD_PROXY_WRITE_TIMEOUT="5000"
#ETCD_PROXY_READ_TIMEOUT="0"

# [security]
ETCD_CERT_FILE="/etc/etcd/ssl/etcd.pem"
ETCD_KEY_FILE="/etc/etcd/ssl/etcd-key.pem"
ETCD_CLIENT_CERT_AUTH="true"
ETCD_TRUSTED_CA_FILE="/etc/etcd/ssl/etcd-root-ca.pem"
ETCD_AUTO_TLS="true"
ETCD_PEER_CERT_FILE="/etc/etcd/ssl/etcd.pem"
ETCD_PEER_KEY_FILE="/etc/etcd/ssl/etcd-key.pem"
ETCD_PEER_CLIENT_CERT_AUTH="true"
ETCD_PEER_TRUSTED_CA_FILE="/etc/etcd/ssl/etcd-root-ca.pem"
ETCD_PEER_AUTO_TLS="true"

# [logging]
#ETCD_DEBUG="false"
# examples for -log-package-levels etcdserver=WARNING,security=DEBUG
#ETCD_LOG_PACKAGE_LEVELS=""

node 节点要修改的地方:

ETCD_NAME

ETCD_LISTEN_PEER_URLS

ETCD_LISTEN_CLIENT_URLS

ETCD_INITIAL_ADVERTISE_PEER_URLS

ETCD_ADVERTISE_CLIENT_URLS

4、启动验证

配置修改后在每个节点进行启动即可,注意,Etcd 各个节点间必须保证时钟同步,否则会造成启动失败等错误

systemctl daemon-reload

systemctl start etcd

systemctl enable etcd

启动成功后验证节点状态

export ETCDCTL_API=3

etcdctl --cacert=/etc/etcd/ssl/etcd-root-ca.pem --cert=/etc/etcd/ssl/etcd.pem --key=/etc/etcd/ssl/etcd-key.pem --endpoints=https://192.168.0.153:2379,https://192.168.0.154:2379,https://192.168.0.164:2379 endpoint health

												


											
ETCD TLS 配置的坑的更多相关文章
	

    
								
  1. [转帖]Kubernetes - nginx-ingress 配置跳坑指南
		
    Kubernetes - nginx-ingress 配置跳坑指南 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明. 本文链接:https:// ...
    
		
    2. 
						
  2. 记一次 Spring 事务配置踩坑记
		
    记一次 Spring 事务配置踩坑记 问题描述:(SpringBoot + MyBatisPlus) 业务逻辑伪代码如下.理论上,插入数据 t1 后,xxService.getXxx() 方法的查询条 ...
    
		
    3. 
						
  3. [k8s]k8s-web-terminal配置使用 & etcdui etcd browser配置 & etcdkeeper3配置
		
    安装kube-dns后,我想看看他是怎么个配置,于是我就找到了这个 参考: https://github.com/beyondblog/k8s-web-terminal cat >> /e ...
    
		
    4. 
						
  4. mybatis-generator:generate 生成代码配置踩坑详解
		
    mybatis-generator:generate 生成代码配置踩坑不少,在此留下笔记以便后续填坑 一.mysql返回时间问题 错误信息: [ERROR] Failed to execute goa ...
    
		
    5. 
						
  5. Tomcat8.5安装与配置的坑
		
    本文只是单纯记录一下tomcat配置的坑! 1.下载官网:https://tomcat.apache.org/下载后解压到根目录,盘符任意.但必须有jdk,本人用的是jdk1.8 2.配置环境变量在c ...
    
		
    6. 
						
  6. Flume数据采集结合etcd作为配置中心在爬虫数据采集处理中的架构实践。
		
    Apache Flume是一个分布式的.可靠的.可用的系统,用于有效地收集. 聚合和将大量日志数据从许多不同的源移动到一个集中的数据存储,但是其本身是以本地properties作为配置的,配置无法做到 ...
    
		
    7. 
						
  7. Etcd安全配置之Basic Auth认证
		
    <中小团队落地配置中心详解>文章中我们介绍了如何基于Etcd+Confd构建配置中心,最后提到Etcd的安全问题时说了可以使用账号密码认证以达到安全访问的目的,究竟该如何开启认证以及怎么设 ...
    
		
    8. 
						
  8. Traefik的TLS配置
		
    生产环境的部署大多采用F5+ Traefik这种方式,因为Traefik的SSL方式相对来说比较慢,因此SSL更多的在F5上开放,而F5到Traefik之间以及后端都是http方式. 但客户需要在开发 ...
    
		
    9. 
						
  9. ETCD:TLS
		
    原文地址:TLS etcd支持用于客户端到服务器以及对等方(服务器到服务器/集群)通信的自动TLS以及通过客户端证书的身份验证. 要启动并运行,首先要获得一个成员的CA证书和签名密钥对. 建议为集群中 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. [作业] Python入门基础---九九乘法表
			
    1.while 循环 : x = 1 while x < 10: y = 1 while y <=x: print('%d*%d=%2d' % (y,x,x*y),end = '\t')  ...
    
			
    2. 
						
  2. 【Chat】实验 -- 实现 C/C++下TCP, 服务器/客户端 "多人聊天室"
			
    本次实验利用TCP/IP, 语言环境为 C/C++ 利用套接字Socket编程,以及线程处理, 实现Server/CLient 之间多人的聊天系统的基本功能. 结果大致如: 下面贴上代码(参考参考.. ...
    
			
    3. 
						
  3. Tomcat源码分析——请求原理分析(上)
			
    前言 谈起Tomcat的诞生,最早可以追溯到1995年.近20年来,Tomcat始终是使用最广泛的Web服务器,由于其使用Java语言开发,所以广为Java程序员所熟悉.很多人早期的J2EE项目,由程 ...
    
			
    4. 
						
  4. [PHP] PHP的脚本执行
			
    PHP的脚本执行:PHP的脚本执行还是会经过编译环节, 只不过它们一般会在运行的时候实时进行编译1.启动PHP及Zend引擎, 加载注册的扩展模块2.读取脚本文件,Zend引擎对脚本文件进行词法分析, ...
    
			
    5. 
						
  5. [javaSE] 多线程(售票例子)
			
    需求:简单的买票程序,多个窗口卖票,多线程 定义一个类Ticket实现Runnable接口, 定义成员属性int类型的票数nums 实现run()方法,run方法中 while(true)的死循环,打 ...
    
			
    6. 
						
  6. DB2 Metadata
			
    http://www.devart.com/dotconnect/db2/docs/MetaData.html Instead of specifying the metadata collectio ...
    
			
    7. 
						
  7. java 自定义  LRU(最近最少使用)策略 实现 缓存机制
			
    1. java提供了一个简单的方式实现LRU:  LinkedHashMap   2. 自定义实现 LRU至少需要两个主要操作: 添加(add)和搜索(search) public class LRU ...
    
			
    8. 
						
  8. BZOJ4833: [Lydsy1704月赛]最小公倍佩尔数
			
    Problem 传送门 Sol 容易得到 \[f_n=e_{n-1}+f_{n-1},e_{n-1}=f_{n-1}+e_{n-1},f_1=e_1=1\] 那么 \[f_n=2\times \sum ...
    
			
    9. 
						
  9. Windows安装ActiveMQ记录
			
    1.下载压缩包(activeMQ应用要基于jdk服务上,安装本软件时,最好已经安装了jdk并且配置好了环境变量) 下载5.12.2版本:http://activemq.apache.org/activ ...
    
			
    10. 
						
  10. CSS实现太极图(1个div实现)
			
    使用一个div实现太极图的步骤如下: HTML部分: <body> <div class="box-taiji"> </div> </bo ...
    
			
    11.