1. Preparações antes de instalar e implantar o Kubernetes 03

Prepare o ambiente de certificado autoassinado:

No host de operação e manutenção gcbj1-200:

Usamos cfssl para demonstrar e o openssl será usado mais tarde;

[root @ gcbj1-200 ~] # cd / usr / local / src / # 
 Baixe os três pacotes cfssl, cfssljson, cfssl-certinfo no diretório / usr / local / src: 
 [root @ gcbj1-200 ~] # wget https : //pkg.cfssl.org/R1.2/cfssl_linux-amd64 
 [root @ gcbj1-200 ~] # wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 
 [root @ gcbj1-200 ~] ] # wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 
 
 [root @ gcbj1-200 src] # mv cfssl_linux-amd64 / usr / bin / cfssl 
 [root @ gcbj1-200 src] # mv cfssljson_linux-amd64 / usr / bin / cfssljson 
 [root @ gcbj1-200 src] # mv cfssl-certinfo_linux-amd64 / usr / bin / cfssl-certinfo 
 # Grant autoridade de execução: 
 [root @ gcbj1-200 src] # chmod + x / usr / bin / cfssl * 
 [root @ gcbj1-200 src] # ll / usr / bin / cfssl * 
 -rwxr-xr-x 1 root root 10376657 4 de janeiro 11:09 / usr / bin / cfssl
 -rwxr-xr-x 1 root root 6595195 1 月 4 11:09 / usr / bin / cfssl-certinfo
 -rwxr-xr-x 1 root root 2277873 1 月 4 11:09 / usr / bin / cfssljson

Emissão de certificado raiz: Crie um arquivo de configuração JSON que gera uma solicitação de assinatura de certificado CA (csr);

 [root @ gcbj1-200 ~] # mkdir -pv / opt / certs 
 mkdir: Criado o diretório "/ opt / certs" 
 [root @ gcbj1-200 ~] # cd / opt / certs / 
 [root @ gcbj1-200 certs] # vim ca-csr.json 
 
 { 
     "CN": "90data.net", # Nome da organização, o navegador usa este campo para verificar se o site é legal, geralmente o nome de domínio está escrito, o que é muito importante. O navegador usa isso campo para verificar o site É legal 
     "hosts": [ 
     ], 
     "key": { 
         "algo": "rsa", # Algorithm 
         "size": 2048 # Length 
     }, 
     "names": [ 
         { 
             "C": " CN ", # C, País 
             " ST ":" beijing ", # Estado de ST, Província 
             " L ":" pequim ",# L cidade da área 
             "O": "ljz", # O nome da organização, nome da empresa  
             "OU": "ops" # nome da unidade organizacional da OU, departamento da empresa
         } 
     ],
     "ca": { 
         "expiry": "175200h" # expiry expiry time, qualquer certificado tem um prazo de validade. 20 anos 
     } 
 }

Emissão de um certificado de portador:

[root @ gcbj1-200 certs] # ​​cfssl gencert -initca ca-csr.json | cfssljson -bare ca 
[root @ gcbj1-200 certs] # ​​ll 
uso total 16 
-rw-r - r-- 1 root root 997 1 Mês 4 14:36 ​​ca.csr 
-rw-r - r-- 1 root root 334 4 de janeiro 14:35 ca-csr.json 
-rw ------- 1 root root 1679 janeiro 4 14: 36 ca-key.pem 
-rw-r - r-- 1 root root 1350 4 de janeiro 14:36 ​​ca.pem