APIserver是整個集群的入口,只有它啟動了,別的組件才可以啟動;我們基於https訪問,所以需要自簽證書;
一、查看腳本
cd TLS/k8s
得到以下5個文件
- ca-config.json
- ca-csr.json
- generate_k8s_cert.sh
- kube-proxy-csr.json
- server-csr.json #為api server啟用https所使用證書
應用程序訪問https api(自簽證書)可用通過以下2種方式
- 1、證書添加IP可信任
- 2、攜帶CA證書
注意:在使用網關、轉發等情況下,不能實現攜帶CA證書,那么我們可用添加信任的IP
二、配置可信任IP
cat server-csr.json
輸出以下內容:
{
"CN": "kubernetes",
"hosts": [
"CN": "kubernetes",
"hosts": [
"10.0.0.1", #server的IP地址,一般作為內部負載均衡使用
"127.0.0.1",#本地
#k8s內部通過DNS訪問的,默認都要有
"kubernetes",
"kubernetes.default",
"kubernetes.default.svc",
"kubernetes.default.svc.cluster",
"kubernetes.default.svc.cluster.local",
"kubernetes",
"kubernetes.default",
"kubernetes.default.svc",
"kubernetes.default.svc.cluster",
"kubernetes.default.svc.cluster.local",
#自定義可信任IP,主要是三個master的IP
"192.168.31.60",
"192.168.31.61",
"192.168.31.60",
"192.168.31.61",
"192.168.31.62",
"192.168.31.63",
],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"L": "BeiJing",
"ST": "BeiJing",
"O": "k8s",
"OU": "System"
}
]
}
],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"L": "BeiJing",
"ST": "BeiJing",
"O": "k8s",
"OU": "System"
}
]
}
三、執行腳本,生成證書
bash generate_k8s_cert.sh
四、查看生成的證書
ls *pem