ETCD 部署并启用证书认证

最新推荐文章于 2025-03-25 11:07:38 发布
原创 最新推荐文章于 2025-03-25 11:07:38 发布 · 4.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#golang #etcd

这篇博客详细介绍了如何部署ETCD并启用证书认证。首先,通过特定方式生成证书,确保server证书的usages包含适当选项以避免认证问题。然后,统一配置包括数据目录和证书目录,并解释了各证书的作用。接着,描述了在三台机器上的部署规划,包括下载二进制包、解压和启动服务的步骤。最后,提到了使用god守护ETCD的配置方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

证书生成

证书生成的方式非常多,同类的文档也很容易找到,这里推荐此篇文章:https://coreos.com/os/docs/latest/generate-self-signed-certificates.html,但是由于etcd的特殊性,server端配置的证书,也会被用于去进行客户端认证,因此需要在 server 的 usages 里面加上:client auth选项,否则会出现此种问题:certificate specifies an incompatible key usage

下面是完整的ca-config.json内容:

{
   
   
    "signing": {
   
   
        "default": {
   
   
            "expiry": "43800h"
        },
        "profiles": {
   
   
            "server": {
   
   
                "expiry": "43800h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth",
                    "client auth" // 此处需要特别注意,由于etcd实现方式不同,server的证书也会用于进行客户端认证,此选项必须的
                ]
            },
            "client": {
   
   
                "expiry": "43800h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "client auth"
                ]
            },
            "peer": {
   
   
                "expiry": "43800h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth",
                    "client auth"
                ]
            }
        }
    }
}

还有需要注意的点就是在生成 server证书的时候,hosts字段需要加上etcd全部节点的IP/主机名信息及127.0.0.1,peer证书可以统一,也可以分别生成,如果需要统一,则需要在hosts字段加上所有节点的IP/主机名信息,如果分开生成,则hosts字段只需要填写对应节点的IP/主机名信息即可

编写配置

最低0.47元/天 解锁文章

200万优质内容无限畅学
etcd证书
learnalwaystodie的博客
02-23 2568
wget "https://pkg.cfssl.org/R1.2/cfssl_linux-amd64" -O /usr/local/bin/cfssl wget "https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64" -O /usr/local/bin/cfssljson 1: cfssl gencert -initca ca-csr.json | cfssljson -bare ca - ca-csr.json #根请求,包括域名 国家 城市 ..
4、etcd安装和配置
最新发布
xuebo1129927648的博客
06-09 743
在 Kubernetes(k8s)中,API Server 组件负责与 etcd 集群通信以存储和检索集群状态。通过以上配置,Kubernetes API Server 可以安全、可靠地连接 etcd 集群,确保集群状态的持久化存储。当使用 kubeadm 自动部署的内置 etcd 时,API Server 默认连接本地 etcd 实例,无需额外配置。当使用独立部署etcd 集群时,需在 API Server 启动参数中明确指定 etcd 端点和证书信息。在每个节点上执行以下命令(替换。
安装带证书etcd集群
weixin_45541368的博客
01-02 1185
一、 准备 三台centos 虚拟机安装带证书etcd集群,内网ip分别为: 192.168.0.5 192.168.0.6 192.168.0.7 先在192.168.0.5上生成证书文件. 1. 安装cfssl wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssljson...
etcd搭建带证书集群
SharkVeryBusy的博客
05-17 720
etcd集群搭建,及基本操作
etcd集群加认证安装部署
二哈欢乐多的博客
03-26 1406
介绍 etcd 是一个分布式一致性 K-V 存储系统,可用于服务注册发现与共享配置,具有以下优点: 简单:相比于晦涩难懂的 Paxos 算法,etcd 基于相对简单且易实现的 Raft 算法实现一致性,通过 gRPC 提供接口调用 安全:支持 TLS 通信,可以针对不同的用户进行对 key 的读写控制 高性能:10,000/秒的写性能 一、环境准备 1.1 机器信息 主机名 ...
ETCD 安全证书
专注基础架构领域
08-21 2791
一、证书类型介绍 client certificate 用于通过服务器验证客户端。例如etcdctl,etcd proxy,fleetctl或docker客户端。 server certificate 由服务器使用,由客户端验证服务器身份。例如docker服务器或kube-apiserver。 peer certificate 由 etcd 集群成员使用,供它们彼此之间通信使用。 二、证书生成 1、cfssl 安装 下载 cfssl,命令如下: [root@localhost etcd]#
etcd开启身份验证
fusugongzi的博客
04-25 3011
etcd有两种身份验证方式:1. 用户名密码2. 证书这里采用用户名密码的验证方式以下命令使用的etcd版本是3.5.0。
etcd权限系统认证过程加cache
ZeaLoVe
04-14 579
最近在研究etcd的权限机制,etcd用的认证方式比较简单basic auth。原理也比较简单易懂,但轻率上线后,发现一个大坑,就是认证时候用来比较密码的哈希是bcript,而且是每个请求都会调。这个耗时很大,导致集群性能下降的厉害,基本不能用了。   查遍官方文档,说3.1+ 用https common name的方式可以解决这个问题,但是我就不想上https,涉及改造的工作量有点大,就...
etcd-集群部署,基于ssl认证的节点间通信,客户端基于ssl客户端证书访问。
wchao111111的博客
04-25 3313
1环境准备: 1.1 主机以及操作系统 主机 地址 操作系统 etcd-1 192.168.234.100 debian11 etcd-2 192.168.234.101 debian12 etcd-3 192.168.234.102 debian23 1.2 软件版本 openssl: openssl-1.1.1n etcd: etcd-v3.5.3-linux-amd64.tar.gz 2.自签名证书 2.1 ca证书 op
【转】etcd 启用 https-如何搞定证书、秘钥、SSL、TSL加密等问题
热门推荐
丁丁爸爸的技术博客
11-18 1万+
原文链接:http://www.tianfeiyu.com/?p=2702 etcd 启用 https  etcd  struggling  (2017-03-15)   文章目录 1, 生成 TLS 秘钥对2,拷贝密钥对到所有节点3,配置 etcd 使用证书4,测试 etcd 是否正常5,配置 kube-apiserver 使用 CA 连接 etcd6,测试
flink的基础介绍_千锋flink
2301_79985178的博客
04-26 340
电商和市场营销 数据报表、广告投放、业务流程需要物联网 传感器实时数据采集和显示、显示报警、交通运输业电信业 基站流量调配银行和金融业 实时结算和通知推送,实时检测异常行为flink也常用于离线和实时数仓中!!!首先我们来看看数仓架构演变(借用阿里云数仓架构)。演变如下图:离线数仓架构:Lambda架构:实时和离线计算融于一体。Kappa架构:Lambda架构的简化版本,去掉其离线部分。flink认为批次也是实时的特例!!!
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 1686
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
Etcd安全配置之Basic Auth认证
Galaxy_0的博客
01-10 712
Etcd安全配置之Basic Auth认证
ETCD集群部署开启身份认证
guyougao的博客
01-16 3616
etcd集群部署
etcd3.4.15集群-有证书
qq_25096749的博客
03-25 458
系统: centos7.6内核: 5.14.0-1.el7.elrepo.x86_64 006-升级内核至5.12.4参考:https://blog.csdn.net/xzk9381/article/details/1165333332、关闭swap分区3、修改主机名4、同步时间5、将桥接的IPV4流量传递到iptables链中6、三个节点都安装supervisrod。
生成ETCD ,K8S证书
m0_37660354的博客
08-25 578
生成ETCD ,K8S相关证书
通过docker快速拉起一个带证书etcd
段帅星的博客
09-10 112
通过docker快速拉起一个带证书etcd
TOS etcd ca 及相关证书续签
qq_36864672的博客
04-14 759
续签 ca 证书需要对应的 ca-key 文件,默认环境部署完成 etcd-ca.key 及 transwarp-warpdrive-ca-key.pem 会不存在,需要从安装包拷贝 gencerts 目录,没有安装包的可以从本文最后下载,上传到第一台 master 节点上,后续续签及生成证书的操作默认都在第一台 master 节点。到此 etcd-ca.pem 证书续期完毕,此时依赖于 etcd-ca.pem 的其他证书etcd.pem)的有效期即为使用 openssl 命令查看的有效期。
CA证书ETCD集群_根据证书查看etcd集群信息
2301_79098963的博客
06-20 563
mkdir k8scd k8setcd-cert.sh 是证书制作的脚本etcd.sh etcd启动脚本cat > ca-config.json
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值