00:01
各位大家好,刚才内容中呢,我们完成了ETCD集群的部署,那下面我们继续往下来做,下面咱们做什么呢?我们就来完成啊,为我们这个API server自签证书,那各位画一下。为这个。API server。自签证书。那他为什么要自签证书呢?我们之前解释过啊,因为现在呢,比如说给大家画一下,我现在比如说有很多的。Note节点,然后下面有我们的master节点,在master节点中的入口,我们是不是叫API server,而我在访问过程中,因为API server它是经过这个HTPS这种方式进行访问的,所以咱需要为它做一个证书的这么一个自签,因为这个证书是我们自己生成的,所以为API server我们需要做一个自签证书,这个是我们要做的一个事情。
01:03
那这自签证书要怎么做,首先给各位先解释一下啊,就是现在这个过程中之间要访问,我们可以用什么方式进行访问,给各位先做个说明,首先里边呢,就是第一种方式,咱可以怎么做呢?这种方式也是目前一种比较流行的方式。咱们可以添加一个叫可信任的这么一个IP列表,比如说我现在比如说我有IP列表,假如我是192.168.1.1~1.100,那我IP只要在这IP范围内都可以进行访问,这叫添加可信的IP列表。另外里边呢,还有第二种方式也比较常见,什么方式呢?当我们发送请求的时候,咱可以携带这个C的这么一个证书进行发送,就是我每次发送都带着这个证书并发送,这也是一种比较常见方式。
02:03
当然我们带证书这种方式啊,在有些场景中它并不能携带,所以咱们很多时候为了方便,经常用第一种方式添加可信的IP列表进行发送,所以咱们一会儿就用第一种方式做到,这就是我们如何为这种apq访问做这种自签证书,咱们基于这种方式给他做到这个啊,是一个理论上的东西。各位把它知道,然后这个具体怎么做,下面给各位来演示一下,这个过程很简单,我就快速做个演示,比如说在我们的目录中,我们今天进入到这个目录啊,咱重新进入。在我们的目录中呢,有这个叫KLS,然后在里边呢,我们给它找到有一个叫K8S,我们进入。然后KYS中呢,有咱的具体内容,那我就找到我们需要这个内容,就这个CSR.cason我们找到这个内容,然后你看啊,里边有这份文件啊,比如说我给他先清楚一下啊,咱看的更明显点,就是这个CSR.jason然后大家看啊,这里边咱主要看后面两个这文件,一个叫库per,一个叫server。
03:19
库pro呢,是后面咱们用到那个work node节点使用到的,而server这个Jason是我们当前master节点用到的,那我们可以先做个查看,比如咱们看这个库pro这个这次文件,先看这里边是什么内容。我们来查看一下啊。就是里边。杠CSR.jc大家看这个里边没有什么特别内容,就是你做这个证书,比如里边这个大小,包括里边这个地区国家等等啊,这就是一个基本的一个内容,然后咱们再看一下,就是刚才我们里边的。这个server这个文件,因为这个文件是咱们需要修改的,我这里做个查看,比如用个Y命令server-CR点,大家看这里边是一些具体内容,而内容中我们看这部分注意啊,咱们要说重点,重点在这里。
04:14
你看是不是有一个叫host,这一部分是什么呢?就是我刚才说那个叫可信任的IP列表,比如我现在想让我这个worknode地点通过APS server进行这个访问,通过hps的方式进行访问,那咱就把我相关的IP在里边给它列出来就可以了,这就叫可信的IP列表,那各位需要做的事情是什么?把这个IP改成你,那里边就是你的电脑中当前IP,比如我当前IP是147148等等,我就加上这么几个,比如147148149150150151,对于你的实际,你可以改成,比如你是什么IP,那就改成IP,我这里边加了这么几个,这就叫做添加可信的IP列表,当你反IP中如这IP,那它可以对我这过程中进行一个访问,这个是咱们一种自签证书方式,然后现在我这已经提前改过了,各位默认没有改,你改成你的当前的IP这个网段就可以了。
05:19
这个啊是咱们的一个基本说明,所以咱们需要做这个事情,修改这个文件,就是server-CR,点这次文件把里边添加上,就是你可信的IP的这个网段。这个就完成了,然后完成之后我们下面怎么做呢?大家看啊,里面有个SH文件,咱就把这文件我们直接执行下就可以了,这样的话就可以为我这API server自签这个证书啊,他也可以自荐出来了,我这个已经执行过了,那我们看一下啊,就是你把这个执行我写一下这个文件。给各位啊,把每个步骤我在图上给大家画一下,就是首先我们做的事情,第一步就是修改这个。
06:08
这次文件里边添加这个可信的这个IP,这个叫做到,然后做到之后我们怎么做执行,我们这个SH这个脚本文件,也是咱们刚才看到的这个文件,当他执行之后,就会生成你生成你这个自签的证书。那这证书比如说我们来看一下啊。应该就是这个。PM你看啊,PM就是咱们目前需要的相关的证书,你看里边有C的证书,有库proceed,有这个server证书,所以咱根据它做到我们这个过程。这就是如何为API server自切证书过程,所以各位把律知道我在快速重复一遍啊,因为这过程中访问API server是我们这个master的入口,它需要用到hps访问,所以咱们需要有证书才能访问。那怎么自线证书?两种方式,第一个添加可信的IP列表,第二次每次携带证书,这发送咱用的是第一种方式,那具体怎么做?第一步修改这文件里边加上可逊的IP就可以了,然后第二步只有我们的脚本,它就会生成咱们最终这个。
07:24
证书啊,就是我们这个。PM文件,这样的话把这个过程我们就做到了,所以咱们现在就完成了为API server4000证书过程,各位把这做到,然后这个做到之后,咱后面要做的肯定是部署我们的master节点,包括no的节点等等这个过程,所以咱们现在把证书就完成了。
我来说两句