1. 关闭防火墙
  2. 关闭selinux

下载所需的包(cfssl,生成证书工具)

mkdir /usr/local/src/etcd/

cd /usr/local/src/etcd/

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64

wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64

wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64

chmod +x cfssl*

#拷贝命令

cp -v cfssl_linux-amd64 /usr/local/bin/cfssl

cp -v cfssljson_linux-amd64 /usr/local/bin/cfssljson

cp -v cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo

ls /usr/local/bin/cfssl*

使用CFSSL创建CA证书以及etcd的TLS认证证书

mkdir /usr/local/src/etcd/ssl

cd /usr/local/src/etcd/ssl

#创建 CA 配置文件(ca-config.json)

vim ca-config.json

{

  "signing": {

    "default": {

      "expiry": "876000h"

    },

    "profiles": {

      "etcd": {

        "usages": [

            "signing",

            "key encipherment",

            "server auth",

            "client auth"

        ],

        "expiry": "876000h"

      }

    }

  }

}

"字段说明"

"ca-config.json":可以定义多个 profiles,分别指定不同的过期时间、使用场景等参数;后续在签名证书时使用某个 profile;

"signing":表示该证书可用于签名其它证书;生成的 ca.pem 证书中 CA=TRUE;

"server auth":表示client可以用该 CA 对server提供的证书进行验证;

"client auth":表示server可以用该CA对client提供的证书进行验证;

#创建 CA 证书签名请求(ca-csr.json)

vim ca-csr.json

{

  "CN": "etcd",

  "key": {

    "algo": "rsa",

    "size": 2048

  },

  "names": [

    {

      "C": "CN",

      "ST": "shenzhen",

      "L": "shenzhen",

      "O": "etcd",

      "OU": "System"

    }

  ]

}

"CN":Common Name,etcd 从证书中提取该字段作为请求的用户名 (User Name);浏览器使用该字段验证网站是否合法;

"O":Organization,etcd 从证书中提取该字段作为请求用户所属的组 (Group);

这两个参数在后面的kubernetes启用RBAC模式中很重要,因为需要设置kubelet、admin等角色权限,那么在配置证书的时候就必须配置对了,具体后面在部署kubernetes的时候会进行讲解。

"在etcd这两个参数没太大的重要意义,跟着配置就好。"

#生成 CA 证书和私钥

cfssl gencert -initca ca-csr.json | cfssljson -bare ca

#创建etcd的TLS认证证书

#创建 etcd证书签名请求(etcd-csr.json)

vim etcd-csr.json

{

  "CN": "etcd",

  "hosts": [

    "127.0.0.1",

    "192.168.48.12"

  ],

  "key": {

    "algo": "rsa",

    "size": 2048

  },

  "names": [

    {

      "C": "CN",

      "ST": "shenzhen",

      "L": "shenzhen",

      "O": "etcd",

      "OU": "System"

    }

  ]

}

如果 hosts 字段不为空则需要指定授权使用该证书的 IP 或域名列表,由于该证书后续被 etcd 集群使用,所以填写IP即可。

因为本次部署etcd是单台,那么则需要填写单台的IP地址即可。

#生成 etcd证书和私钥

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=etcd etcd-csr.json | cfssljson -bare etcd

#将TLS 认证文件拷贝至证书目录下

mkdir -p /etc/etcd/etcdSSL

cp * /etc/etcd/etcdSSL

安装etcd服务

yum install -y etcd

#配置 etcd 的 service文件(/usr/lib/systemd/system)

vim /usr/lib/systemd/system/etcd.service

[Unit]

Description=Etcd Server

After=network.target

After=network-online.target

Wants=network-online.target

[Service]

Type=notify

WorkingDirectory=/var/lib/etcd/

EnvironmentFile=-/etc/etcd/etcd.conf

# set GOMAXPROCS to number of processors

ExecStart=/usr/bin/etcd \

  --name ${ETCD_NAME} \

  --cert-file=/etc/etcd/etcdSSL/etcd.pem \

  --key-file=/etc/etcd/etcdSSL/etcd-key.pem \

  --peer-cert-file=/etc/etcd/etcdSSL/etcd.pem \

  --peer-key-file=/etc/etcd/etcdSSL/etcd-key.pem \

  --trusted-ca-file=/etc/etcd/etcdSSL/ca.pem \

  --peer-trusted-ca-file=/etc/etcd/etcdSSL/ca.pem \

  --initial-advertise-peer-urls ${ETCD_INITIAL_ADVERTISE_PEER_URLS} \

  --listen-peer-urls ${ETCD_LISTEN_PEER_URLS} \

  --listen-client-urls ${ETCD_LISTEN_CLIENT_URLS},http://127.0.0.1:2379 \

  --advertise-client-urls ${ETCD_ADVERTISE_CLIENT_URLS} \

  --initial-cluster-token ${ETCD_INITIAL_CLUSTER_TOKEN} \

  --initial-cluster etcd1=https://172.16.1.168:2380 \

  --initial-cluster-state new \

  --data-dir=${ETCD_DATA_DIR}

Restart=on-failure

LimitNOFILE=65536

[Install]

WantedBy=multi-user.target

参数说明:

1、指定 etcd 的工作目录为 /var/lib/etcd,数据目录为 /var/lib/etcd,需在启动服务前创建这两个目录;

在配置中的命令是这条:

WorkingDirectory=/var/lib/etcd/

2、为了保证通信安全,需要指定 etcd 的公私钥(cert-file和key-file)、Peers 通信的公私钥和 CA 证书(peer-cert-file、peer-key-file、peer-trusted-ca-file)、客户端的CA证书(trusted-ca-file);

在配置中添加etcd证书的命令是以下:

  --cert-file=/etc/etcd/etcdSSL/etcd.pem \

  --key-file=/etc/etcd/etcdSSL/etcd-key.pem \

  --peer-cert-file=/etc/etcd/etcdSSL/etcd.pem \

  --peer-key-file=/etc/etcd/etcdSSL/etcd-key.pem \

  --trusted-ca-file=/etc/etcd/etcdSSL/ca.pem \

  --peer-trusted-ca-file=/etc/etcd/etcdSSL/ca.pem \

3、配置etcd的endpoint:

  --initial-cluster infra1=https://172.16.1.168:2380 \

4、配置etcd的监听服务集群:

  --initial-advertise-peer-urls ${ETCD_INITIAL_ADVERTISE_PEER_URLS} \

  --listen-peer-urls ${ETCD_LISTEN_PEER_URLS} \

  --listen-client-urls ${ETCD_LISTEN_CLIENT_URLS},http://127.0.0.1:2379 \

  --advertise-client-urls ${ETCD_ADVERTISE_CLIENT_URLS} \

5、配置etcd创建的集群为新集群,则定义集群状态为new

   --initial-cluster-state 值为 new

6、定义etcd节点的名称,该名称等下从配置文件中获取:

  --name ${ETCD_NAME} \

  其中配置文件:EnvironmentFile=-/etc/etcd/etcd.conf

#etcd的配置文件(/etc/etcd/etcd.conf)

vim /etc/etcd/etcd.conf

#[member]

ETCD_NAME=etcd1

ETCD_DATA_DIR="/var/lib/etcd"

ETCD_LISTEN_PEER_URLS="https://172.16.1.168:2380"

ETCD_LISTEN_CLIENT_URLS="https://172.16.1.168:2379"

#[cluster]

ETCD_INITIAL_ADVERTISE_PEER_URLS="https://172.16.1.168:2380"

ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"

ETCD_ADVERTISE_CLIENT_URLS="https://172.16.1.168:2379"

#参数说明

ETCD_NAME 节点名称

ETCD_DATA_DIR 数据目录

ETCD_LISTEN_PEER_URLS 集群通信监听地址

ETCD_LISTEN_CLIENT_URLS 客户端访问监听地址

ETCD_INITIAL_ADVERTISE_PEER_URLS 集群通告地址

ETCD_ADVERTISE_CLIENT_URLS 客户端通告地址

ETCD_INITIAL_CLUSTER 集群节点地址

ETCD_INITIAL_CLUSTER_TOKEN 集群Token

ETCD_INITIAL_CLUSTER_STATE 加入集群的当前状态,new是新集群,existing表示加入已有集群

#这是172.16.1.168节点的配置,如果配置其他etcd节点只要将上面的IP地址改成相应节点的IP地址即可。

#启动 etcd 服务

systemctl daemon-reload

systemctl start etcd

systemctl status etcd

#验证服务

etcdctl \

  --ca-file=/etc/etcd/etcdSSL/ca.pem \

  --cert-file=/etc/etcd/etcdSSL/etcd.pem \

  --key-file=/etc/etcd/etcdSSL/etcd-key.pem \

  cluster-health

etcd+https部署的更多相关文章

  1. 007.基于Docker的Etcd分布式部署

    一 环境准备 1.1 基础环境 ntp配置:略 #建议配置ntp服务,保证时间一致性 etcd版本:v3.3.9 防火墙及SELinux:关闭防火墙和SELinux 名称 地址 主机名 备注 etcd ...

  2. 008.Docker Flannel+Etcd分布式网络部署

    一 环境准备 1.1 Flannel概述 Flannel是一种基于overlay网络的跨主机容器网络解决方案,即将TCP数据包封装在另一种网络包里面进行路由转发和通信,Flannel是CoreOS开发 ...

  3. 阿里云Https部署网站

    0.开始之前 文章图片很多,注意流量 首先你得准备好一个已经备案成功的域名,并且有一个在阿里云的服务器部署了的网站. 然后就是你迫切的希望升级网站为HTTPS部署. 那么我们开始吧! 1.申请CA证书 ...

  4. etcd安装部署步骤

    我是通过yum直接安装的(yum install etcd -y),其生成的配置文件在/etc/etcd/etcd.conf. 这里分单机版和集群版来介绍配置项 单机配置 ETCD_DATA_DIR: ...

  5. ETCD分布式存储部署

    一.ETCD 概述 ETCD 是一个分布式一致性k-v存储系统,可用于服务注册发现与共享配置.具有一下优点: 简单: 相比于晦涩难懂的paxos算法,etcd基于相对简单且易实现的raft算法实现一致 ...

  6. HTTPS 部署简要指南

    许多Web开发者都知道SSL,但常见的情况是SSL没有完整地部署或者没有部署在它应该部署的地方.这篇关于何时及如何部署SSL的简要指南,将帮助你避免大多数常见错误. 要点 如果你有任何机密信息,或者你 ...

  7. 一键安装基于dns的高可用k8s集群(3节点,etcd https)

    在公司,使用dns切换,可能会比keepalived+haproxy,更精简的易维护. 毕竟,高可用只是偶尔切换,不是时时切换. 且dns解析在自己可控时,更不会影响k8s线上使用了. (部分代码,由 ...

  8. etcd 安装部署

    etcd 是coreos团队开发的分布式服务发现键值存储仓库. github地址: https://github.com/coreos/etcd 安装: 1.下载etcd最新版本 https://gi ...

  9. 宝塔https部署没成功的原因排查

    今天ytkah在迁移一个客户网站的时候出了点问题,网站从旧的服务器(windows)换到新的服务器(阿里云centos 7,已经安装了宝塔面板),网站之前有用comodo的ssl证书,因为快要过期了, ...

随机推荐

  1. MyEclipse构建maven项目报错

    直接上图: 这里有三种方案: 1.检查jdk版本:最好换成1.8版本 项目右键-->build path-->configure build Path; 1.2  点击 libraries ...

  2. 失败zero

    1127 系统玩崩溃了 分区助手调整c盘,导致自动进入快速启动然后疯狂boot网卡检测?还有测试中心? 查找错误initialization and establishing link,结论是bios ...

  3. java web工程的配置文件

    java web工程的配置文件 1.工程(源码依赖管理) 2.代码生成管理: 3.会话管理:servlet: 4.应用管理: 5.(分布式)资源管理:数据.数据库连接等. pom:源码管理工具 位置: ...

  4. Spring Boot 中如何支持异步方法

    本人免费整理了Java高级资料,涵盖了Java.Redis.MongoDB.MySQL.Zookeeper.Spring Cloud.Dubbo高并发分布式等教程,一共30G,需要自己领取.传送门:h ...

  5. Java生鲜电商平台-促销架构以及秒杀解决方案实战

    Java生鲜电商平台-促销架构以及秒杀解决方案实战 背景:随着这几年的电商的大热,我们经常看到一些商家为了促销和快速收益,纷纷推出了秒杀活动.不管是日常的超市里面的促销,明星演唱会门票售卖,还是春节订 ...

  6. CAD如何能画的快?老师傅教你5个技巧,远超他人

    都知道CAD用途是很广泛,各行各业都是离不开CAD画图设计,机械,建筑,园林,服装,家具…… 画图速度一定要够快速,这样才能够满足需求,事实上会发现有的人绘图非常快速,但是你出一张图却要加班赶点.差距 ...

  7. Ubuntu的系统应用

    1:最近在苹果笔记本做了双系统,启动电脑后还是蛮酷的,但是ubuntu系统安好后,没有wifi图标,于是必须连接有线网络,更新数据包才可以. 2:      常用命令 查看软件xxx安装内容#dpkg ...

  8. vue-cli3和element做一个简单的登陆页面

    1.先用vue-cli3创建一个项目 2.安装element模块 全局安装 npm i element-ui -S 3在main.js引入模块 import ElementUI from 'eleme ...

  9. Dynamics 365 Customer Engagement中使用JavaScript和C#调用操作Action示例

    微软动态CRM专家罗勇 ,回复334或者20190509可方便获取本文,同时可以在第一间得到我发布的最新博文信息,follow me! Action (操作)是流程的一种,可以在工作流中调用,可以使用 ...

  10. 使用Fiddler进行HTTP流量分析

    - 安装 Fiddler是一款免费软件,可以到其官网下载,地址是https://www.telerik.com/fiddler,也可以从我的网盘中下载,发送"fiddler"获取下 ...