Skip to content

Commit

Permalink
更新集群使用证书说明
Browse files Browse the repository at this point in the history
  • Loading branch information
jmgao1983 committed Dec 4, 2017
1 parent af17d93 commit 8342c32
Showing 1 changed file with 10 additions and 3 deletions.
13 changes: 10 additions & 3 deletions docs/01-创建CA证书和环境配置.md
Original file line number Diff line number Diff line change
Expand Up @@ -11,7 +11,14 @@ roles/ca
├── ca-config.json.j2
└── ca-csr.json.j2
```
kubernetes 系统各组件需要使用 TLS 证书对通信进行加密,使用 CloudFlare 的 PKI 工具集生成自签名的CA证书,用来签名后续创建的其它 TLS 证书。
kubernetes 系统各组件需要使用 TLS 证书对通信进行加密,使用 CloudFlare 的 PKI 工具集生成自签名的CA证书,用来签名后续创建的其它 TLS 证书。[参考阅读](https://coreos.com/os/docs/latest/generate-self-signed-certificates.html)

根据认证对象可以将证书分成三类:服务器证书,客户端证书,对等证书 `peer cert`(表示既是`server cert`又是`client cert`),在kubernetes 集群中需要的证书种类如下:

+ `etcd` 节点需要标识自己监听服务的server cert,也需要client cert与`etcd`集群其他节点交互,当然可以分别指定2个证书,这里为简化使用一个peer 证书
+ `kube-apiserver` 需要标识apiserver服务的server cert,也需要client cert 从而操作`etcd`集群,这里为简化使用一个peer 证书
+ `kubectl` `calico` `kube-proxy` 只需要 client cert,因此证书请求中 hosts 字段可以为空
+ `kubelet` 证书比较特殊,不是手动生成,它由node节点`TLS BootStrap``apiserver`请求,由master节点的`controller-manager` 自动签发,包含一个client cert 和一个server cert

请在另外窗口打开[roles/ca/tasks/main.yml](../roles/ca/tasks/main.yml) 文件,对照看以下讲解内容。

Expand All @@ -36,7 +43,7 @@ kubernetes 系统各组件需要使用 TLS 证书对通信进行加密,使用
}
}
```
+ `ca-config.json`:可以定义多个 profiles,分别指定不同的过期时间、使用场景等参数;后续在签名证书时使用某个 profile;
+ `ca-config.json`:可以定义多个 profiles,分别指定不同的过期时间、使用场景等参数;这里为了方便使用 `kubernetes` 这个profile 签发三种不同类型证书
+ `signing`:表示该证书可用于签名其它证书;生成的 ca.pem 证书中 `CA=TRUE`
+ `server auth`:表示 client 可以用该 CA 对 server 提供的证书进行验证;
+ `client auth`:表示 server 可以用该 CA 对 client 提供的证书进行验证;
Expand Down Expand Up @@ -95,7 +102,7 @@ roles/lb

Haproxy支持四层和七层负载,稳定性好,根据官方文档,HAProxy可以跑满10Gbps-New benchmark of HAProxy at 10 Gbps using Myricom's 10GbE NICs (Myri-10G PCI-Express),这个作为软件级负载均衡,也是比较惊人的;另外,openstack高可用也有用haproxy的。

keepalived观其名可知,保持存活,它是基于VRRP协议保证所谓的高可用或热备的,这里用来防止master节点单点故障,具体说是防止haproxy的单点故障
keepalived观其名可知,保持存活,它是基于VRRP协议保证所谓的高可用或热备的,这里用来预防haproxy的单点故障

keepalived与haproxy配合,实现master的高可用过程如下:

Expand Down

0 comments on commit 8342c32

Please sign in to comment.