久久久久久久视色,久久电影免费精品,中文亚洲欧美乱码在线观看,在线免费播放AV片

<center id="vfaef"><input id="vfaef"><table id="vfaef"></table></input></center>
    <p id="vfaef"><kbd id="vfaef"></kbd></p>
    

    <pre id="vfaef"><u id="vfaef"></u></pre>
      <thead id="vfaef"><input id="vfaef"></input></thead>
      

    1. 

      
	
      
				
      站長資訊網(wǎng)

      最全最豐富的資訊網(wǎng)站
      		
				
						
			
      

      
	

      
	
      
	
      
				
      
			
      Kubernetes證書相關(guān)(CFSSL)
                         
      
			
                          
      
				2019-02-15
												分類:服務(wù)器技術(shù)
				閱讀(1007)				評論(0)
				
			
      
		
      
				
      
						
      CFSSL是CloudFlare開源的一款PKI/TLS工具。 CFSSL 包含一個命令行工具 和一個用于 簽名,驗(yàn)證并且捆綁TLS證書的 HTTP API 服務(wù)。 使用Go語言編寫。
      

      Github 地址: https://github.com/cloudflare/cfssl
      官網(wǎng)地址: https://pkg.cfssl.org/
      參考地址:http://www.sfodin.cn/Linux/2018-11/155393.htm
      

      curl -s -L -o /bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
      curl -s -L -o /bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
      curl -s -L -o /bin/cfssl-certinfo https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
      chmod +x /bin/cfssl*
      

      集群相關(guān)證書類型
      

      client certificate: 用于服務(wù)端認(rèn)證客戶端,例如etcdctl、etcd proxy、fleetctl、docker客戶端
      server certificate: 服務(wù)端使用,客戶端以此驗(yàn)證服務(wù)端身份,例如docker服務(wù)端、kube-apiserver
      peer certificate: 雙向證書,用于etcd集群成員間通信
      

      根據(jù)認(rèn)證對象可以將證書分成三類:服務(wù)器證書server cert,客戶端證書client cert,對等證書peer cert(表示既是server cert又是client cert),在kubernetes 集群中需要的證書種類如下:
      

        

      • etcd 節(jié)點(diǎn)需要標(biāo)識自己服務(wù)的server cert,也需要client cert與etcd集群其他節(jié)點(diǎn)交互,當(dāng)然可以分別指定2個證書,也可以使用一個對等證書
        • 

      • master 節(jié)點(diǎn)需要標(biāo)識 apiserver服務(wù)的server cert,也需要client cert連接etcd集群,這里也使用一個對等證書
        • 

      • kubectl calico kube-proxy 只需要client cert,因此證書請求中 hosts 字段可以為空
        • 

      • kubelet證書比較特殊,不是手動生成,它由node節(jié)點(diǎn)TLS BootStrap向apiserver請求,由master節(jié)點(diǎn)的controller-manager 自動簽發(fā),包含一個client cert 和一個server cert
        • 

      

      創(chuàng)建CA配置文件
      

      配置證書生成策略,規(guī)定CA可以頒發(fā)那種類型的證書
      vim /opt/ssl/k8sca/ca-config.json
      {
        “signing”: {
          “default”: {
            “expiry”: “87600h”
          },
          “profiles”: {
            “kubernetes”: {
              “usages”: [
                  “signing”,
                  “key encipherment”,
                  “server auth”,
                  “client auth”
              ],
              “expiry”: “87600h”
            }
          }
        }
      }
      

      創(chuàng)建CA證書簽名請求
      

      vim /opt/ssl/k8sca/ ca-csr.json
      

      {
      “CN”: “kubernetes”,
      “key”: {
          “algo”: “rsa”,
          “size”: 2048
      },
      “names”: [
          {
              “C”: “CN”,
              “L”: “BeiJing”,
              “O”: “Ctyun”,
              “ST”: “BeiJing”,            
              “OU”: “ops”
          }    ]
      }
      

      生成CA和私鑰
      

      生成CA所必需的文件ca-key.pem(私鑰)和ca.pem(證書),還會生成ca.csr(證書簽名請求),用于交叉簽名或重新簽名。
      $ cd /opt/ssl/k8sca/
      $ cfssl gencert -initca ca-csr.json | cfssljson -bare ca
      $ ls
      ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem
      
		
      
								            
      
            	贊(0)            	            	            
      
        				
					
      
分享到:








更多 (0)

      

      
		
		
      標(biāo)簽:
      
		
		
		            
        
									
      
	
      
	
      


      
	網(wǎng)站地圖  
  
    滬ICP備18035694號-2
    
	滬公網(wǎng)安備31011702889846號