ETCD相关参数
当使用kubeadm安装高可用k8s集群时,etcd集群会有多个节点。客户端访问etcd时,使用https协议,同时客户端需要携带身份凭证;etcd节点之间相互通信使用https协议,同时也需要进行身份凭证。etcd的2379与2380端口的认证方式均为x509客户证书认证。
先看peer之间的通信所需要的参数。
2380端口提供HTTPS服务,需要peer-server.key与peer-server.crt;etcd节点使用HTTPS连接其他的etcd节点时需要一个https-to-peer_ca.crt,同时还需要携带身份凭证peer-credential.key与peer-credential.crt;etcd节点要能够带来自peer的请求进行认证,需要一个peer-authentication_ca.crt。
所以,在peer之间的通信上,etcd所需要的参数有:
接下来,我们再来分析2379端口需要的参数。
2379端口提供HTTPS服务时需要两个参数client-server.key与client-server.crt;2379端口认证来自apiserver的请求所携带的身份凭证时需要一个client-authentication_ca.crt,即2379端口需要的参数为
接下来,我们给出kubeadm安装高可用集群时etcd的启动参数,如下:
我们先直接给出上面这些key与证书文件需要满足的条件
第一:每个etcd节点上的server.crt与peer.crt都是被自已节点上的ca.key与ca.crt签署的 第二:每个etcd节点上所使用的ca.key与ca.crt必须是一样的 第三:每个etcd节点上的server.key、server.crt、peer.key、peer.crt不需要一样 第四:server.crt与peer.crt中的域名内容必须包含本机的IP,且server.crt必须包含域名127.0.0.1
先来看第一点:当创建第一个节点A时,A上的server.crt与peer.crt只可能被自已节点上的ca.crt与ca.key签署
再来看第二点:当B访问A时,B上的ca.crt会验证A的peer.crt以建立HTTPS连接,所以A上的peer.crt是由B上ca.crt签署;而A肯定是被自已节点上的ca.crt签署的,所以B上的ca.crt和A上的肯定是一样的
再看第三点:
先看peer.crt与peer.key:当B访问A时,B上的ca.crt能验证A的peer.crt,所以HTTPS能连接成功;B携带的peer.crt也能被A用ca.crt认证成功;A的2380端口提供的HTTPS服务,对方访问时无须使用A中peer.crt中的域名;所以每个节点peer.key与peer.crt内容不需要一样,只要是被ca.crt签署的即可。
第四点:原因是HTTPS连接过程中,客户端会验证服务端证书中的域名是否与自已请求的域名一致。
Last updated
Was this helpful?