为ETCD配置认证信息

Kubernetes集群需要存储包括节点/组件/POD/Deployment/Service等各种对象相关的大量数据。使用ETCD存储可以实现集群的持久化运作。

为便于说明，将主节点上部署ETCD实例。在主节点上进入上述KubePre目 录，执 行“vi config.properties”命令，在该配置文 件 的“ETCD_ENDPOINTS=”行中修改ETCD路径信息，例如将其修改为“ETCD_ENDPOINTS=https://172.16.1.101:2379”。

接下来需要在所有节点上安装CFSSL工具，用来生成证书和密钥文件。执行“wget-q --show-progress -https-only --timestamping https://pkg.cfssl.org/r1.2/cfssl_linux=amd64 https://pkg.cfssl.org/r1.2/cfssljson_linuxamd64”命令，下载该工具。执 行“chmod +x cfssl_linux-amd64 cfssljson_linux-amd64”命 令，将 其修改为可执行权限。执行“mv cfssl_linux-amd64 /usr/local/bin/cfssl”，“mv cfssljson_linux-amd64 /usr/local/bin/cfssljson”命令移动到Bin目录，便于之后的使用。

在主节点生成根证书，执 行“mkdir -p /etc/Kubernetes/ca”命 令，创建所需的目录。执行“cp~/KubePre/target/ca/ca-config.json /etc/Kubernetes/ca”，“cp ~/KubePre/target/ca/cascr.json /etc/Kubernetes/ca”命令，准备生成证书的配置文件。执行“cd /etc/Kubernetes/ca”，“cssl gencert -initca ca-scr.json | cfssljson -bare ca”命令，生产所需的私钥和证书文件，其名称分别为“ca-key.pem”和“ca.pem”。

因为ETCD节点是用于存储数据的，必须得到有效保护，这就必然需要为其增加安全认证功能。ETCD节点为其他服务提供访问，所以需要验证其他服务身份，这就需要一个标识自己监听服务的Server证书。当有多个ETCD节点的话，也需要客户端证书和ETCD集群的其他节点交互。执行“mkdir -p/etc/Kubernetes/ca/etcd”命令，创建所需目录存储ETCD证书。

执 行“cp ~/KubePre/target/ca/etcd/etcd-scr.json /etc/Kubernetes/ca/etcd”、“cd /etc/Kubernetes/ca/etcd”、“cfssl gencert -ca=/etc/Kubernetes/ca/ca-key.pem-ca-key=/etc/Kubernetes/ca/etcd -config=/etc/Kubernetes/ca/ca-config.json -profile=Kubernetes etcd-csr.json | cfssljson-bare etcd ”命令，准备生成证书的配置文件，并使用根证书签发etcd证书，得到所需的私钥和证书，名称分别为“etcd-key.pem”和“etcd.pem”。

因为上面生成了所需配置文件，并保存在“KubePre/target”目录，所以进入该文件夹，将“master-node”目录中的“etcd.service”文件复制到“/lib/systemd/system”目 录。 执 行“systemctl enable etcd.service”、“mkdir -p /var/lib/etcd”、“service etcd start”命令启动ETCD服务。

执行“netstat -ntlp”命令，在网络连接信息列表中应看到2379/2380端口为开启状态。执行“ETCDCTRL_API=3 etcdctl -endpoints=htt ps://172.16.1.101:2379 -cacert=/etc/Kubernetes/ca/ca.pem --cert=/etc/Kubernetes/etcd/etcd.pem-key=/etc/Kubernetes/ca/etcd/etcd-key.pem endpoint health”命令验证ETCD服务。