etcd 是一个分布式一致性k-v存储系统,可用于服务注册发现与共享配置,具有以下优点:
1.简单:相比于晦涩难懂的paxos算法,etcd基于相对简单且易实现的raft算法实现一致性,并通过gRPC提供接口调用
2.安全:支持TLS通信,并可以针对不同的用户进行对key的读写控制
3.高性能:10,000/秒的写性能

开放端口:

firewall-cmd --zone=public --add-port=2379/tcp --permanent

firewall-cmd --zone=public --add-port=2380/tcp --permanent

firewall-cmd --zone=public --add-port=4001/tcp --permanent

firewall-cmd --reload

    

设置hosts

172.16.150.25 etcd1

172.16.150.26 etcd2

172.16.150.27 etcd3

  

创建用户

mkdir -p /opt/platform/etcd

useradd etcd -d /opt/platform/etcd -c "Etcd user" -r -s /sbin/nologin

  

安装cfssl

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64

wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64

chmod +x cfssl_linux-amd64 cfssljson_linux-amd64

mv cfssl_linux-amd64 /usr/local/bin/cfssl

mv cfssljson_linux-amd64 /usr/local/bin/cfssljson

 

创建CA证书配置,生成CA证书和私钥, 只需要在一台机器上操作即可

先用 cfssl 命令生成包含默认配置的 config.json和 csr.json文件

mkdir /opt/ssl

cd /opt/ssl

cfssl print-defaults config > config.json

cfssl print-defaults csr > csr.json

  

然后分别修改这两个文件为如下内容

vim /opt/ssl/config.json

{

    "signing": {

        "default": {

            "expiry": "87600h"

            },

        "profiles": {

            "kubernetes": {

                 "usages": [

                     "signing",

                     "key encipherment",

                     "server auth",

                     "client auth"

                  ],

                 "expiry": "87600h"

                }

            }

       }

}

config.json:可以定义多个 profiles,分别指定不同的过期时间、使用场景等参数;后续在签名证书时使用某个 profile;
signing:表示该证书可用于签名其它证书;生成的 ca.pem 证书中 CA=TRUE;
server auth:表示client可以用该 CA 对server提供的证书进行验证;
client auth:表示server可以用该CA对client提供的证书进行验证;

vim /opt/ssl/csr.json

{

  "CN": "kubernetes",

  "key": {

    "algo": "rsa",

    "size": 2048

  },

  "names": [

    {

      "C": "CN",

      "ST": "Wuhan",

      "L": "Hubei",

      "O": "k8s",

      "OU": "System"

    }

  ]

}

CN:Common Name,kube-apiserver 从证书中提取该字段作为请求的用户名 (UserName);浏览器使用该字段验证网站是否合法;
O:Organization,kube-apiserver 从证书中提取该字段作为请求用户所属的组(Group)

生成CA 证书和私钥

cd /opt/ssl

cfssl gencert -initca csr.json | cfssljson -bare ca

  

CA有关证书列表如下

[root@k8s-console ssl]# tree

.

├── ca.csr

├── ca-key.pem

├── ca.pem

├── config.json

└── csr.json

  

创建etcd证书配置,生成 etcd 证书和私钥

在/opt/ssl 下添加文件 etcd-csr.json,内容如下

{

  "CN": "etcd",

  "hosts": [

    "127.0.0.1",

    "172.16.150.25",

    "172.16.150.26",

    "172.16.150.27"

  ],

  "key": {

    "algo": "rsa",

    "size": 2048

},

  "names": [

  {

    "C": "CN",

    "ST": "Shanghai",

    "L": "Shanghai",

    "O": "etcd",

    "OU": "Etcd Security"

    }

  ]

}

  

生成etcd证书和密钥

cd /opt/ssl

cfssl gencert -ca=/opt/ssl/ca.pem \

-ca-key=/opt/ssl/ca-key.pem \

-config=/opt/ssl/config.json \

-profile=kubernetes etcd-csr.json | cfssljson -bare etcd

 

给证书读权限

chmod 644 /opt/ssl/*

  

etcd 有关证书证书列表如下

etcd.csr etcd-csr.json etcd-key.pem etcd.pem

  

至此CA证书就弄完了, 将这台机器侠/opt/ssl下所有东西,拷贝到其他两台机器下面的/opt/ssl下即可

安装etcd

在三台上都安装etcd

yum install etcd -y

 

添加etcd配置

wget https://github.com/coreos/etcd/releases/download/v3.3.7/etcd-v3.3.7-linux-amd64.tar.gz

tar -xvf etcd-v3.3.7-linux-amd64.tar.gz

cd etcd-v3.3.7-linux-amd64

cp -a etcd* /opt/platform/etcd/

 

添加etcd为系统服务
vim /usr/lib/systemd/system/etcd.service 

etcd1

[Unit]

Description=etcd server

After=network.target

After=network-online.target

Wants=network-online.target

[Service]

Type=notify

User=etcd

WorkingDirectory=/opt/platform/etcd

EnvironmentFile=-/opt/platform/etcd/etcd.conf

ExecStart=/opt/platform/etcd/etcd \

  --name etcd1 \

  --cert-file=/opt/ssl/etcd.pem \

  --key-file=/opt/ssl/etcd-key.pem \

  --trusted-ca-file=/opt/ssl/ca.pem \

  --peer-cert-file=/opt/ssl/etcd.pem \

  --peer-key-file=/opt/ssl/etcd-key.pem \

  --peer-trusted-ca-file=/opt/ssl/ca.pem \

  --initial-advertise-peer-urls https://172.16.150.25:2380 \

  --listen-peer-urls https://172.16.150.25:2380 \

  --listen-client-urls https://172.16.150.25:2379,https://127.0.0.1:2379 \

  --advertise-client-urls https://172.16.150.25:2379 \

  --initial-cluster-token consul_etcd \

  --initial-cluster etcd1=https://172.16.150.25:2380,etcd2=https://172.16.150.26:2380,etcd3=https://172.16.150.27:2380 \

  --initial-cluster-state new \

  --data-dir=/opt/platform/etcd/data

Restart=on-failure

RestartSec=5

  

etcd2

[Unit]

Description=etcd server

After=network.target

After=network-online.target

Wants=network-online.target

[Service]

Type=notify

User=etcd

WorkingDirectory=/opt/platform/etcd

EnvironmentFile=-/opt/platform/etcd/etcd.conf

ExecStart=/opt/platform/etcd/etcd \

  --name etcd2 \

  --cert-file=/opt/ssl/etcd.pem \

  --key-file=/opt/ssl/etcd-key.pem \

  --trusted-ca-file=/opt/ssl/ca.pem \

  --peer-cert-file=/opt/ssl/etcd.pem \

  --peer-key-file=/opt/ssl/etcd-key.pem \

  --peer-trusted-ca-file=/opt/ssl/ca.pem \

  --initial-advertise-peer-urls https://172.16.150.26:2380 \

  --listen-peer-urls https://172.16.150.26:2380 \

  --listen-client-urls https://172.16.150.26:2379,https://127.0.0.1:2379 \

  --advertise-client-urls https://172.16.150.26:2379 \

  --initial-cluster-token consul_etcd \

  --initial-cluster etcd1=https://172.16.150.25:2380,etcd2=https://172.16.150.26:2380,etcd3=https://172.16.150.27:2380 \

  --initial-cluster-state new \

  --data-dir=/opt/platform/etcd/data

Restart=on-failure

RestartSec=5

  

etcd3

[Unit]

Description=etcd server

After=network.target

After=network-online.target

Wants=network-online.target

[Service]

Type=notify

User=etcd

WorkingDirectory=/opt/platform/etcd

EnvironmentFile=-/opt/platform/etcd/etcd.conf

ExecStart=/opt/platform/etcd/etcd \

  --name etcd3 \

  --cert-file=/opt/ssl/etcd.pem \

  --key-file=/opt/ssl/etcd-key.pem \

  --trusted-ca-file=/opt/ssl/ca.pem \

  --peer-cert-file=/opt/ssl/etcd.pem \

  --peer-key-file=/opt/ssl/etcd-key.pem \

  --peer-trusted-ca-file=/opt/ssl/ca.pem \

  --initial-advertise-peer-urls https://172.16.150.27:2380 \

  --listen-peer-urls https://172.16.150.27:2380 \

  --listen-client-urls https://172.16.150.27:2379,https://127.0.0.1:2379 \

  --advertise-client-urls https://172.16.150.27:2379 \

  --initial-cluster-token consul_etcd \

  --initial-cluster etcd1=https://172.16.150.25:2380,etcd2=https://172.16.150.26:2380,etcd3=https://172.16.150.27:2380 \

  --initial-cluster-state new \

  --data-dir=/opt/platform/etcd/data

Restart=on-failure

RestartSec=5

  

启动etcd:

mkdir -p /opt/platform/etcd/data && chown etcd:etcd -R /opt/platform/etcd

systemctl enable etcd.service && systemclt daemon-reload && systemctl start etcd.service

 

添加alias:

vim /etc/profile.d/alias_bash.sh

alias etcdctl='etcdctl --endpoints=https://172.16.150.25:2379,https://172.16.150.26:2379,https://172.16.150.27:2379 --cert-file=/opt/ssl/etcd.pem --ca-file=/opt/ssl/ca.pem --key-file=/opt/ssl/etcd-key.pem'

source /etc/profile.d/alias_bash.sh

验证etcd集群状态

etcdctl cluster-health

   

查看etcd 集群成员

etcdctl member list

测试验证:

etcdctl set test/testkey0 0

etcdctl get test/testkey0

 

etcd集群安装的更多相关文章

  1. centos下etcd集群安装

    先仔细了解学习etcd 官方: https://github.com/etcd-io/etcd https://www.cnblogs.com/softidea/p/6517959.html http ...

  2. ETCD集群安装实验

    目录 [1.下载二进制程序] [2.安装etcd集群] [3.查询集群状态] [4.存入读取数据] [5.注意事项] [6.参考链接] 简介:     Etcd的官网文档及其在GitHub上的文档,已 ...

  3. etcd集群安装部署

    1. 集群架构 由于我们只有两个机房,所以选择的是以上图中所示的数据同步方案, 通过做镜像的方式保证两个集群的数据实时同步. 整体架构如上图所示, 整个全局元数据中心包括两套集群,廊坊集群和马驹桥集群 ...

  4. kubernetes 集群安装etcd集群,带证书

    install etcd 准备证书 https://www.kubernetes.org.cn/3096.html 在master1需要安装CFSSL工具,这将会用来建立 TLS certificat ...

  5. 使用docker方式安装etcd集群,带TLS证书

    网上文档也多,安装的时候,还是踩了几个坑. 现在作一个安装记录吧. 1,先作自签名的证书ca-csr.json(为了和k8s共用根证书,可能将信息调为k8s). { "CN": & ...

  6. 使用k8s operator安装和维护etcd集群

    关于Kubernetes Operator这个新生事物,可以参考下文来了解这一技术的来龙去脉: https://yq.aliyun.com/articles/685522?utm_content=g_ ...

  7. Kubernetes1.91(K8s)安装部署过程(三)--创建高可用etcd集群

    这里的etcd集群复用我们测试的3个节点,3个node都要安装并启动,注意修改配置文件 1.TLS认证文件分发:etcd集群认证用,除了本机有,分发到其他node节点 scp ca.pem kuber ...

  8. yum安装etcd集群

       前一篇文章介绍了如何yum安装简单的kubernetes集群,其中etcd是单点部署.本篇我们来搭建etcd集群,方便日后搭建kubernetes HA集群架构. 1,环境配置说明 etcd1 ...

  9. etcd简介及集群安装部署使用

    目录 1. 简介 2. Linux下载安装 3. 单机模式启动 4. 指定各集群成员的方式配置集群 5. 使用discovery service的方式配置集群 6. 集群模式下客户端命令行 7. et ...

随机推荐

  1. HNOI2012矿场搭建

    做完Mining Your Own Business后觉得这个题没什么意思了,数据范围小的连边数不清空都能A. 题解直接看这篇吧.做题的经历也挺……对吧. #include<iostream&g ...

  2. Java 注解指导手册(下)

    9. 自定义注解   正如我们之前多次提及的,可以定义和实现自定义注解.本章我们即将探讨. 首先,定义一个注解:   public @interface CustomAnnotationClass   ...

  3. PHP中Smarty的fetch()方法

    fetch 取得输出的内容 string fetch (string template [, string cache_id [, string compile_id]]) 返回一个模板输出的内容(H ...

  4. 加密算法之 MD5算法

    题记:本人自测了很多次,该算法和apache的commons utils包中的MD5算法计算一致 一.针对文件内容生成MD5值 应用场景:针对文件,在传输过程由于网络原因丢帧或者被人别恶意篡改内容,可 ...

  5. mybatis-config.xml 和 mapper基本设置

    mybatis-config.xml : <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE ...

  6. 阶段3 3.SpringMVC·_07.SSM整合案例_03ssm整合之编写Spring框架

    做整合要保证每个框架单独使用 先搭建Spring的框架,然后再整合别的框架.Spring是业务层的框架 spring的配置文件 这就表示是spring的配置文件 默认的约束不够,需要修改. <b ...

  7. flask 学习(二)

    安装了flask扩展 以及flask-bootstrap 默认情况下,flask在template文件夹寻找模板. flask 加载的是Jinja2模板,该模板引擎在flask中由函数render_t ...

  8. java源码-CountDownLatch源码分析

    这次分析CountDownLatch,相信大部分人都用过把! CountDownLatch内部还是Sync对象,还是基础AQS(可见其重要性),首先看一下CountDownLatch初始化,Count ...

  9. CentOS的SVN服务器搭建与自动部署全过程

    CentOS的SVN服务器搭建与自动部署全过程 http://www.jb51.net/article/106218.htm authz-db = authz 引起的 svn 认证失败 http:// ...

  10. spring-boot集成4:集成mybatis,druid和tk.mybatis

    Why mybatis? mybatis提供了ORM功能,相比于其他ORM框架,其需要编写更多的sql,也给了我们编写特殊/复杂sql和进行sql优化的机会. Why druid? Druid是阿里巴 ...