为etcd和Kubernetes服务启用基于CA认证的安全机制,需要CA证书进行配置。
如果组织能够提供统一的CA认证中心,则直接使用组织颁发的CA证书即可。如果没有统一的CA认证中心,则可以通过颁发自签名的CA证书来完成安全配置。
如下以通过颁发自签名的CA证书来完成安全配置。
etcd和Kubernetes在制作CA证书时,均需要基于CA根证书。
创建CA根证书:
openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -subj "/CN=192.168.3.135" -days 36500 -out ca.crt
参数如下:
-subj:“/CN”的值为Master主机名或IP地址,如果这里使用了Master主机的主机名,则需要手动配置/etc/hosts-days:设置证书的有效期
将生成的ca.key和ca.crt文件保存在/etc/kubernetes/pki目录下。