k8s-master Ready master 27m v1.18.2 F. 部署 k8s node 节点 Step1: k8s master 上查看/创建 token、生成证书摘要 kubeadm token list kubeadmin token create --ttl 0 kubeadm token list openssl x509 -pubkey Step5: 生成 SSL 证书的 secret //生成自签名 SSL 证书 openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=k8s-dashboard.xxx.com" //生成 SSL 证书的 secret kubectl create Step7: 创建 SSL 证书的 secret //生成自签名 SSL 证书 openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=k8s-dashboard.xxx.com" //生成 SSL 证书的 secret kubectl create

disabled_plugins = ["cri"] #再重启containerd即可有 unix:///run/containerd/containerd.sock 接口 #信任私有镜像仓库ssl证书，添加或修改以下几行配置 [plugins."io.containerd.grpc.v1.cri".registry.configs] [plugins."io.containerd # systemctl restart containerd ★如果不想配置信任私有镜像仓库，也可将服务器证书添加到操作系统的ca证 书库里 # cat ca.com.crt >> /etc/pki/tls/certs/ca-bundle.crt #将ca证书添加到centos系统证书信任列表中，链接到： /etc/pki/ca-trust/extracted/pem/tls-ca-bundle 54:6443 \ #指定控制面板vip与端口号 --ignore-preflight-errors=Swap \ #忽略swap未关闭而导致的检查错误 --upload-certs #将控制平面证书上传到kubeadm-certs Secret；并在后续添加节点时自动分发证 书文件 ★使用配置文件方式去初始化集群（和上面命令行方式二选一） # kubeadm config print

应为Node配置集群的公共根证书，以便安全地连接到apiserver。例如，在默认的GCE部署中，提供给kubelet的客户端 凭证采⽤客户端证书的形式。请参阅⽤于⾃动配置kubelet客户端证书的 kubelet TLS bootstrapping 。 希望连接到apiserver的Pod可通过服务帐户安全地进⾏，这样，Kubernetes就会在实例化时，⾃动将公共根证书和有效 的承载令牌注⼊到该Pod中。 这些连接终⽌于kubelet的HTTPS端点。默认情况下，apiserver不验证kubelet的证书，这使得连接可能会受到中间⼈的 攻击，并且在不可信/公共⽹络上运⾏是不安全的。 要验证此连接，请使⽤ --kubelet-certificate-authority 标志，为apiserver提供⼀个根证书包，⽤于验证kubelet的证 书。 如果不能这样做，如果需要，请在apiiserver和kubelet之间使⽤ 为纯HTTP连接，因此不会被认证或加密。可通过将 https: 前缀添加到 到API URL中的Node、Pod、Service名称，从⽽运⾏安全的HTTPS连接，但不会验证HTTPS端点提供的证书，也不会 提供客户端凭据——因此，尽管连接将被加密，它不会提供任何诚信保证。这些连接在不受信任/公共⽹络上运⾏并不 安全。 SSH隧道 Google Container Engine 使⽤SSH隧道来保护Master

ordererN的映射关系为：ordererN:7050 -> worker:23700+N Service的外部调用 SACC2017 通过cryptogen工具生成证书。cryptogen工具根据cluster-config.yaml来 生成证书，并按一定目录存放这些证书: OrdererOrgs: - Name: Orderer Domain: orgorderer1 Template:

Ø 解决方案 ØTCP透传模式 Ø不要用HTTP模式，而要用TCP模式做负载均 衡，TCP可以透传TLS连接 Ø后端服务器都要有服务器证书 ØHAProxy认证模式 ØTLS服务器终点为HAProxy，后端连接为明文 TCP Ø要把服务器证书配置到HAProxy上 OpenStack里MySQL Galera 集群高可用 Ø问题 Ø异步多主多活情况下会出现数据 不一致 Ø同步多活情况下容易出现死锁

caicloud.io/a caicloud.io/b caicloud.io/a caicloud.io/b 负载均衡器（LB）: • 支持私有云LVS, 公有云SLB • 支持X.509证书 路 由： • Ingress控制器+Nginx • 支持子域名到服务路由 海尔工业互联网 - 微服务之配置管理 配置中心 应用-A 应用-B 应用-C 应用-D 配置中心优势 :

涉及的模块：全局管理、容器管理、云原生网络、云原生存储、云边协同 版权 © 2023 DaoCloud 第 8 页 云原生底座 提供云原生计算、网络、存储等能力，兼容各种集群接入，支持集群从部署、版本升 级、证书变更、配置变更、回收等全生命周期管理，突破 K8s API 性能瓶颈，实现企 业超大规模用户并发使用多集群。针对企业环境，提供场景化的网络方案，实现当前 企业网络基础设施复用的最大化，降低企业使用云原生应用门槛。