ETCD相关参数

当使用kubeadm安装高可用k8s集群时，etcd集群会有多个节点。客户端访问etcd时，使用https协议，同时客户端需要携带身份凭证；etcd节点之间相互通信使用https协议，同时也需要进行身份凭证。etcd的2379与2380端口的认证方式均为x509客户证书认证。

先看peer之间的通信所需要的参数。

2380端口提供HTTPS服务，需要peer-server.key与peer-server.crt；etcd节点使用HTTPS连接其他的etcd节点时需要一个https-to-peer_ca.crt，同时还需要携带身份凭证peer-credential.key与peer-credential.crt；etcd节点要能够带来自peer的请求进行认证，需要一个peer-authentication_ca.crt。

所以，在peer之间的通信上，etcd所需要的参数有：

peer-server.key
peer-server.crt
https-to-peer_ca.crt
peer-credential.key
peer-credential.crt
peer-authentication_ca.crt

接下来，我们再来分析2379端口需要的参数。

2379端口提供HTTPS服务时需要两个参数client-server.key与client-server.crt；2379端口认证来自apiserver的请求所携带的身份凭证时需要一个client-authentication_ca.crt，即2379端口需要的参数为

client-server.key
client-server.crt
client-authentication_ca.crt

接下来，我们给出kubeadm安装高可用集群时etcd的启动参数，如下：

etcd \
  --client-cert-auth=true \        # 开启2379端口的client-cert认证
  --key-file=/etc/kubernetes/pki/etcd/server.key \    # 2379端口提供https服务所需要的key，对应上面的clietn-server.key
  --cert-file=/etc/kubernetes/pki/etcd/server.crt \    # 2379端口提供https服务所需要的cert，对应上面的client-server.crt
  --trusted-ca-file=/etc/kubernetes/pki/etcd/ca.crt \    # 2379端口认证请求所携带的身份凭证所使用的CA证书，对应上面的client-authentication_ca.crt
  ...
  --peer-client-cert-auth=true \  # 开启2379端口的client-cert认证
  --peer-key-file=/etc/kubernetes/pki/etcd/peer.key \    # 2380端口提供https服务所需要的key以及该etcd节点访问其他peer节点所需要的身份凭证，对应上面的peer-server.key
及peer-credential.key
  --peer-cert-file=/etc/kubernetes/pki/etcd/peer.crt \    # 2380端口提供https服务所需要的cert以及该etcd节点访问其他peer节点所需要的身份凭证，对应上面的peer-server.crt
及peer-credential.crt
  --peer-trusted-ca-file=/etc/kubernetes/pki/etcd/ca.crt \  # 2380端口认证其他peer请求所携带的身份凭证所使用的CA证书，对应上面的peer-authentication_ca.crt
  ...

我们先直接给出上面这些key与证书文件需要满足的条件

第一：每个etcd节点上的server.crt与peer.crt都是被自已节点上的ca.key与ca.crt签署的 第二：每个etcd节点上所使用的ca.key与ca.crt必须是一样的 第三：每个etcd节点上的server.key、server.crt、peer.key、peer.crt不需要一样 第四：server.crt与peer.crt中的域名内容必须包含本机的IP，且server.crt必须包含域名127.0.0.1

先来看第一点：当创建第一个节点A时，A上的server.crt与peer.crt只可能被自已节点上的ca.crt与ca.key签署

再来看第二点：当B访问A时，B上的ca.crt会验证A的peer.crt以建立HTTPS连接，所以A上的peer.crt是由B上ca.crt签署；而A肯定是被自已节点上的ca.crt签署的，所以B上的ca.crt和A上的肯定是一样的

再看第三点：

先看peer.crt与peer.key：当B访问A时，B上的ca.crt能验证A的peer.crt，所以HTTPS能连接成功；B携带的peer.crt也能被A用ca.crt认证成功；A的2380端口提供的HTTPS服务，对方访问时无须使用A中peer.crt中的域名；所以每个节点peer.key与peer.crt内容不需要一样，只要是被ca.crt签署的即可。

第四点：原因是HTTPS连接过程中，客户端会验证服务端证书中的域名是否与自已请求的域名一致。

Previous启动参数解析 Next负载均衡

Last updated 5 years ago

Was this helpful?