xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有:
前提条件:已经准备好CA根证书(etcd在制作CA证书时需要CA根证书),并且把CA根证书文件ca.key和ca.crt拷贝到3个etcd节点的/etc/kubernetes/pki目录下。 3台主机的IP地址分别为192.168.3.135、192.168.3.136、192.168.3.137。 要安装的etcd版本:v3.4.13-linux-amd64。
1. mqtt第三方库支持openssl a, 编译openssl库(我使用的是1.0.1),在mqtt源码目录下创建openssl文件夹,并拷贝编译完成的库文件与头文件到此文件夹下。 b, 修改mqtt(源码从git上获取https://github.com/eclipse/paho.mqtt.c.git )编译选项,PAHO_WITH_SSL,OPENSSL_SEARCH_PATH。修改后需要重新清除,重新编译。
利用OpenSSL生成库和命令程序,在生成的命令程序中包括对加/解密算法的测试,openssl程序,ca程序.利用openssl,ca可生成用于C/S模式的证书文件以及CA文件.
执行查询时前缀是固定的,如下所示,使用这个前缀再加上etcd的查找命令即可成功查询:
最近几个月,Elastic Stack发生了很多变化,并发布了许多免费的安全工具。由Comodo和Elastic Endpoint Security发布的OpenEDR。因此,我认为现在是查看Elastic的更改并尝试其新Endpoint Security的好时机。因此,对于这篇文章,我将展示如何从头开始安装Elastic SIEM和Elastic Endpoint Security。
作为新生代农民工,想必对VPN都不陌生。为了提升公司安全性,大部分互联网公司都会对公司内部平台做网络隔离(禁止公网环境随意访问),常用到的工具即OpenVPN。
在上一篇文章里我们主要介绍docker的安装,这里我们主要介绍安装etcd集群安装。这里我们采用下载二进制binary制作linux systemd的方式安装,安装完成之后开启开启双向ssl验证。另外etcd集群的安装方式主要有3种,静态的集群安装(就是预先知道有集群中多少台etcd,在每一台etcd里都配置指向其它的etcd来形成集群)。基于已经存在的etcd利用服务发现机制安装。基于dns的服务发现机制安装。这里我们以学习为目的采用第一种方式安装,当然对于应用环境还是基于服务发现的机制比较好(这里我们机器有限,就不自己搭建一个bind dns服务来做服务发现安装了)。
下载工具包 wget https://github.com/etcd-io/etcd/releases/download/v3.4.14/etcd-v3.4.14-linux-amd64.tar.gz 解压并加入环境变量 tar -zxf etcd-v3.4.14-linux-amd64.tar.gz mv etcd-v3.4.14-linux-amd64/etcdctl /usr/local/bin chmod +x /usr/local/bin/ 验证etcdctl是否能用,出现以下结果代表已经成功了
使用过的朋友肯定知道,Kubernetes 默认的证书有效期只有 1 年,因此需要每年手动更新一次节点上面的证书,显然这对我们实际生产环境来说是很不友好的;因此我们要对 Kubernetes 的 SSL 证书有效期进行修改。如下给出了具体的方法,但是有可能到你开始使用的时候,已经不再试用。
随着微服务的不断推进,使用 k8s 集群越来越多,越来越深入,随之而来会遇到一系列的问题,本文向大家介绍实际使用 k8s 遇到的一些问题以及解决方法。
这期来和大家聊一个有意思的话题,大家在平时用K8s的时候,起码会在下面三种场景中碰到三种不同的账号:
在上一篇文章中我们介绍安装了helm和tiller server,两者用来作为k8s应用包管理的客户端提供命令行工具,以及作为服务端提供最终安装部署功能。这里我们介绍安装chartmuseum和helmpush,chartmuseum作为chart的私有仓库,helmpush作为插件工具来实现将chart推送到chart repo。当然作为chart repo,也不一定用chartmuseum,只要是web server就好,不过chartmuseum也属于helm项目,所以我们选择chartmuseum,这里对于chartmuseum采用linux systemd安装方式。另外,把chart推送到chart repo也不一定用helmpush,甚至用原始的curl https命令就好。同样helmpush也是属于helm项目的插件,所以我们选择使用它。对于实际应用,请根据自己的需求来选择chart repo和推送工具。
在以前搭建docker镜像私有仓库的时候,我都是使用registery搭建。本篇章来尝试另一个新的镜像仓库Harbor。
注释掉cert和key(客户端不需要crt和key文件,但是需要服务器的CA证书)
相信使用二进制部署过 k8s 集群的同学们都知道,二进制部署集群太困难了,有点基础的人部署起来还有成功的希望,要不然只能跟着别人的教程一步一步的去部署,部署的时候完全不知道这样操作的意义是啥?出问题了无从下手解决。对于初学者来说真的是浪费生命,那有没有什么简单的方式来部署集群呢?这个问题在前几年可能没有很好的答案,但是在现在,答案简直太多了,比如 kubeadm,rke 等方式,我们今天就来介绍下 kubeadm 部署集群的工作原理。
FISCO BCOS即Finacial blockchain shenzhen consrotium, 深圳金融区块链合作联盟, 简称金盟链。Fiscobcos性能蛮不错的, 安装学习下。
Etcd是Go语言开发的一个开源的、高可用的分布式的键值(key-value)存储系统,它被设计用于可靠地存储关键性数据,并保证快速的访问速度。我们运维之道的etcd常被用于Kubernetes集群中存储配置信息和状态数据。
OpenVPN是一种功能强大的开源虚拟私有网络(VPN)解决方案,可以在多种应用场景下使用。以下是几个常见的OpenVPN应用场景:
kubernetes 源码编译,分为本地二进制可执行文件编译和 docker 镜像编译两种, 之前演示的 minikube 方式或 kubeadm 方式安装,都是基于第二种 docker 镜像方式运行,当然也可以基于二进制文件方式安装,不管哪种方式,都是直接使用并不需要修改任何 k8s 代码。
在使用minikube学习的时候,会出现你在mac上安装的minikube默认是最新版本,但是实际情况是需要安装低一些版本。可以按照k8s官方文档安装的时候指定不同安装版本,如果很慢或者无法访问直接走github安装也行。
用于定义初始的主节点,确保主节点选举的有效性。这里面的名字要和node.name保持一致
上节提到执行 kubeadm init 之后,会在机器上启动 kubelet,实际上在 controlplane 节点上还会启动像 kube-apiserver, kube-controller-manager, kube-scheduler 甚至还有 etcd,那么这些进程又是怎么被启动的呢,下文会做简单的分析
在linux下使用GoAgent客户端的时候,需要导入CA.cer证书。 安装证书管理工具 apt-get install libnss3-tools 导入证书 $ certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n GoAgent -i ~/programs/goagent/local/CA.crt 如果输出: certutil: function failed: security library: bad database. 说明数据库损坏,需要重建。 $ m
Harbor(港口,港湾)是一个用于存储和分发Docker镜像的企业级Registry服务器
kubelet会根据/etc/kubernetes/manifests目录中的yaml文件拉起etcd的容器:
1、客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息。 2、服务端给客户端返回SSL协议版本号、加密算法种类、随机数等信息,同时也返回服务器端的证书,即公钥证书 3、客户端使用服务端返回的信息验证服务器的合法性,包括:
官方地址https://openvpn.net/client/client-connect-vpn-for-windows/
线上生产环境,出于安全考虑,有些服务器是不需要公网IP,但是平常运维人员管理起来又不太方便。
HPA 控制器与聚合 API 获取到 Pod 性能指标数据之后,基于下面的算法计算出目标 Pod 副本数量,与当前运行的 Pod 副本数量进行对比,决定是否需要进行扩缩容操作:
为什么要使用https协议 因为不用 https 协议的话,docker 客户端需要修改配置,如果 docker 客户端多的话配置起来就很麻烦。 版本信息 OS:CentOS Linux 7.6 Release Docker:18.09.6 Docker-compose:1.24.1 Harbor:harbor-offline-installer-v1.9.0 IP:172.0.0.11 1. 安装docker 1.1 配置repository: yum install -y yum-utils devic
在现代企业环境中,保障数据的安全和完整是至关重要的。消息队列作为系统间通信的重要桥梁,其安全性直接关系到企业数据的安全。RabbitMQ作为一个广泛应用的消息中间件,提供了多种安全机制,其中SSL/TLS加密是非常重要的一环。为了保障消息传输的安全,我们计划为现有的RabbitMQ镜像集群配置SSL加密。
通过github获取离线安装包,地址:https://github.com/goharbor/harbor/releases,可以根据自己的需要下载自己需要的release版本,这里使用的是v2.2.1,下载对应的离线安装包[harbor-
使用 CLI(如 curl)或 GUI(如 postman )HTTP 客户端调用 Kubernetes API 有很多原因。例如,您可能需要对 Kubernetes 对象进行比 kubectl 提供的更细粒度的控制,或者只是想在尝试从代码访问 API 之前进行探索。
本文由wp2Blog导入,原文链接:http://devonios.com/certutil-%e5%af%bc%e5%85%a5-ca-%e8%af%81%e4%b9%a6.html
环境: 外网IP:139.198.15.121 内网IP:10.180.27.8
etcd通过客户端证书支持SSL/TLS以及身份验证,客户端到服务器以及对等(服务器到服务器/群集)通信。
描述:在 Kubernetes 集群中所有操作的资源数据都是存储在 etcd 数据库上, 所以防止集群节点瘫痪未正常工作或在集群迁移时,以及在出现异常的情况下能尽快的恢复集群数据,则我们需要定期针对etcd集群数据进行相应的容灾操作。
VPN直译就是虚拟专用通道,是提供给企业之间或者个人与公司之间安全数据传输的隧道,OpenVPN无疑是Linux下开源VPN的先锋,提供了良好的性能和友好的用户GUI。
下载安装openssl,进入/bin/下面,执行命令(把ssl目录下的openssl.cnf 拷贝到bin目录下)
欢迎访问我的GitHub 这里分类和汇总了欣宸的全部原创(含配套源码):https://github.com/zq2599/blog_demos 本篇概览 前文《Docker下elasticsearch8部署、扩容、基本操作实战(含kibana)》介绍了用docker快速部署es和kibana的过程,然而整个过程人工操作步骤还是多了点,能不能更简单些呢?毕竟很多时候大家关注的是使用,不愿在部署上费太多时间 借助docker-compose,可以将es集群+kibana的安装过程可以进一步简化,精简后的步骤
在上一篇文章里我们对基于iptable和ipvs模式下cluster ip类型的service和node port类型的service做了总结和对比,在这里我们主要介绍flannel overlay网络setup,以便后面分析pod到pod的通讯过程。对于flannel overlay网络有vxlan 方式和udp方式,这里我们介绍vxlan 方式的setup。对于vxlan 是一种overlay网路技术,意在利用在三层网络之上构建二层网络。对于二层网络一般我们采用vlan技术来隔离,不过vlan在数据包里总共4个字节,有12bit用来标识不同的二层网络,这样总共可以有4000多个vlan。而vxlan header有8个字节,有24bit用来标识不同的二层网络,这样总共是1600多万个vxlan。更多关于vxlan可以参考https://tools.ietf.org/html/rfc7348
Harbor是VMware公司最近开源的企业级Docker Registry项目, 其目标是帮助用户迅速搭建一个企业级的Docker registry服务,即能存储自己的镜像又有安全认证。
对于日常使用到的 ELK 组件的系统,默认在 ELK 部署的时候默认都是没有安装配置任何权限管控插件,这对于存储在 es 之中的数据无异于“裸奔”。没有任何防护的话,只要稍微会一点 ELK 知识,网络探测到暴露在域外的 es 数据库后,可以直接对数据进行“增删改查”,这是致命的安全问题。以下为例:
在上一篇文章里我们主要介绍harbor的安装以及简单使用,这里我们主要介绍安装kube-apiserver。这里我们采用下载二进制binary制作linux systemd的方式安装,并开启kube-apiserver的ssl。这里在github下载kubernetes(1.15.1版本)。同时请提前制作好kuber-apiserver的ssl证书,可以参考以前文章中制作docker的cert。
下载安装openssl,进入/bin/下面,执行命令(把ssl目录下的openssl.cnf 拷贝到bin目录下) 1.首先要生成服务器端的私钥(key文件): openssl genrsa -des3 -out server.key 1024 [root@airwaySSL openssl]# cd ssl/ [root@airwaySSL ssl]# pwd /home/openssl/ssl [root@airwaySSL ssl]# ls certs man misc openssl.cnf private server.csr server.key 运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果觉得不方便,也可以去除这个口令,但一定要采取其他的保护措施! 去除key文件口令的命令: openssl rsa -in server.key -out server.key 2.openssl req -new -key server.key -out server.csr -config openssl.cnf [root@airwaySSL bin]# openssl req -new -key server.key -out server.csr -config openssl.cnf Enter pass phrase for server.key:12345 You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:CN State or Province Name (full name) [Some-State]:china Locality Name (eg, city) []:wuhan Organization Name (eg, company) [Internet Widgits Pty Ltd]:airway Organizational Unit Name (eg, section) []:airway Common Name (eg, YOUR name) []:airway Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: 生成Certificate Signing Request(CSR),生成的csr文件交给CA签名后形成服务端自己的证书.屏幕上将有提示,依照其指示一步一步输入要求的个人信息即可. 3.对客户端也作同样的命令生成key及csr文件: openssl genrsa -des3 -out client.key 1024 Generating RSA private key, 1024 bit long modulus ...........++++++ ..++++++ e is 65537 (0x10001) Enter pass phrase for client.key:12345 Verifying - Enter pass phrase for client.key:12345 openssl req -new -key client.key -out client.csr -config openssl.cnf [root@airwaySSL bin]# openssl req -new -key client.key -out client.csr -config openssl.cnf Enter pass phrase for client.key:1234
领取专属 10元无门槛券
手把手带您无忧上云