00:00
欢迎大家继续收看上硅谷的Linux云计算视频,我是汪洋老师。那经过了很长时间的学习,我们对K8S通过酷IDM的安装方式有了很多的了解,包括在我们的K8S集群中的安装了很多的部分,它已经可以满足我们很多一部分企业的需求了。但是还有一部分问题我们没有解决,一个就是我们的K8S的高可用,另一个就是其实酷布IDM安装的K8S集群,它有一些小问题。那我们知道在之前讲解我们K8S安全的时候,我们说过。它的认证方式采用的是itps双向认证,那如果证书呢,到期了怎么办?我们在学习我们的IPS证书构建的时候,我们知道要输入一个时间,对吧。那之前呢,我们创建的证书的时间都是365天,也就一年的,那对于我们的默认的K8S集群来说,它其实证书也有使用年限,我们可以过来看一下。
01:05
在我们的当前版本下,他在ETC下的。Co下的PKM中。那这就是我们当前的Linux集群用到的所有的一些证书了,对吧?好,那我们去查看一下它的可用时间,叫opencel。叉509的格式杠in,我们去比如ipo.crt-test。输入文本not好回车。嗯,在这里从我们2019年的8月14号对吧,10:07的三十八三,呃,10:07的38秒去创建的,那到2020年的。8月13号去结束,也就意味着我们这里的证书呢,它只有一年的时间,注意哈,这里并不是所有的证书都是一年,我们可以看一下我们的CA的。
02:12
看到了吗?像CA的它是十年的,那也就意味着这里会有两种机制去创建证书,有一部分呢是十年的,另一部分是一年的,那我们都知道ipi,我刚才看的是IPSO,对吧,它是我们一切访问的入口,你说它重要性是变下去了,对吧?那它的一年的可用性对于我们来说可能就会出现一定的问题,那很多人可能会说了,那这K8S不是有毛病吗?为什么要去给我们一年的默认时间,原因是它是。我觉得哈,我觉得官方没有说命,我觉得是他想去让你维持在它的更新步伐,原因是在这里K8S会有一个策略。当我们进行K8S集群更新的时候。这里的证书会自动进行替换,也就意味着如果你能满足一年更新一次集群的话,这里的证书问题是不需要你去考虑的。
03:07
但是有很多企业会跑一些离线的业务,那时候更新起来会不太方便,他可能会隔离网络,对吧?那在这种情况下,我们可能会需要去对它进行一些手脚,比如我们可以手动触发它的更新。但是每一年触发一次,是不是还是比较恶心的,那有些人会怎么想呢?诶,那既然它是K8S库IDM去做出来的,那库IDM的源码我们进行修改以后,那是不是就可以让它把它改成十年的有效期?确实这不失为一种方案,那这也是我们今天要讲的这么一种方案,也就是我们先去当一个我们的酷IDM的源码下来,当完了以后呢,我们去对它的QIDM,针对我们这种IPS sor这这类的一些,就是一年年限的这些证书的分发的函数进行修改,把它的默认时间由一年改为至我们现在的十年。
04:05
那这样的话,我们所有在新QIDM去颁发出来的证书,是不是已经成为一个十年的状态?那我相信这个十年的有效期应该是足够你去使用的,当然如果不够的话,你可以写更多,因为它的原理都是一致的,对吧?好,那我们话不多说,我们就开始去干吧。首先呢,我在。根目录下去创建一个我们的data目录。那既然我们要源码编译修改呢?我们需要去配置一下我们当前的go语言的环境。在我们国内去下载go语言的话,最好去到购物的中文社区去下载,因为速度比较快,对吧,不然购的官方是在谷歌。国外上去下载比较慢,好首先在我们的百度里面去输入go中文社区进来以后,这里会有个下载,下载里面是不是有个Linux的版本,对吧,我们点击这里下载即可,那在刚刚呢,我已经把它下载成功了,在这里对吧。
05:16
好。然后呢,我把它拿到我们的根下的。带塔目录中。我把go拿进来。那它的配置方式呢,也很简单。在这里呢?我们只需要在。配置一个环境变量即可,看到了吗?配置我们的go的环境变量即可,那我们就去设置一下。好。ZXVF。Go杠大C解压到U下。
06:14
好,IOS logo下的go是没问题的,对吧,打开我们的ETC下的。Profile。好,我们去声明一下,U logo下的购下的,并保存退书source ETC下的profile。刷新完成以后呢,我们就可以去go wson,我们去看一下有没有生效,已经生效了,对吧,1.12.9版本。好,那接下来呢,我们去克隆一下我们的K8S的项目。我们去克隆。当然我们要提前安装一下gate,对吧,在之前我已经把gate安装好了。
12:23
好,经过一段时间的等待呢,我们这里已经下载成功了,对吧。那我们进入我们的cooper,好,进来以后呢,我们需要去切一下它当前的版本。或叫分支对吧,我们。把它切到我们当前的版本下,我们当前的版本可以通过我们的。稍微有点卡叫CU。IDM。然后呢,沃森在这里我们可以显示出来,稍微等一下,好,这里的版本已经出现了,对吧,1.15.1的版本,好那我们就过来切换一下。
13:07
切换至我们的1.15.1。好,切换成功以后呢,我们去打开这么一个文件,这么一个go文件,那这个go文件呢,就是负责去创建我们的这种一年的更新的这么一个证书的,那这是在1.14版本之前,它是通过这么一个文件在1.14,也就我们现在1.15,它也是用这个文件去创建我们的一年的证书的,需要大家注意一下,如果你的CUIDM的集群比较老的话,那你用下面的,那我们现在用下面的。在1.16或者1.17以后呢,我就不知道它到底是采用什么样的文件了,那大家的方案就是访问至我们的coon集群,去查看它的开发者手册,这就可以了,没问题了,好,需要大家注意一下,对吧,好。
14:14
那我们去打开这么一个文件,我们往下翻。在这里呢,它会有一个叫做c ert的这么一个temp的创建的模板。对吧,从什么开始到什么结束,那我们可以在上面去。新建这么一个。我们在这里去定义一个常量。那我们就看。然后呢,取一个名称,比如就叫做。然后3650D。好,然后呢,等于time how。
15:03
乘24。成。365乘十这个含义呢,就是。这里的含义呢,采用的是我们的time house的这么一种方法,这代表我们的一小时对吧?乘24乘365天,也就是一年,再乘十,也就是十年,但是如果你想去创建100年的话,在这里乘100即可,那这样的一个长量我们就已经创建好了,我们到下边。这里呢叫time now,也就是我们再去分发。镜像的时候,它的时间再加上IDD对吧,加上多久,那我们在这里把它加上我们的这么一个常量的名称代表,再加上十年,那这样的话,它的可用期是不是就十年了,对吧。保证内数就这么简单。那接下来呢,我们去make一下,只编译我们的酷巴IDM。
16:02
我们稍微等一会儿。
18:36
好,这里已经生成成功了,对吧,那如果你的代码编写的有问题呢,在这里会有对应的报错,好,那我们copy它会放在out。Put下的并下的CU idm,我们把它拿到root目录下。然后呢,我们再去把copy u并一下的库IM备份一下。
19:02
有点卡好备份至U并一下的。IDM。点out好,备份成功以后,我们再把当前的加目录下的呃放在我们的UR。并一下,并且去给他赋予一下。指引权限。好,富裕成功以后呢,我们就可以去做下面的事情了。首先我们先到。ETC下的Co目录下我们去copy啊,把我们的PKM录我们去备份一下。防止万一不行对吧,好,然后再到CD下的。Root目录下吧,我们去进行所谓的新证书的生成,好酷IDM。
20:01
阿尔法。CTS renew所有的证书杠杠,Configa指定的路径是在这里是指定的,是我们在安装我们的K8S集群的时候,我们的加ma文件,这也是为什么之前给大家说我们一定要保留对应的一些集群信息的原因,好,它在u logo下的in install k8S下的coral下的Co I DM,这里面会有个con压ma文件,对吧?反正我之前是放在这里了,自己去确定你们放在的位置。好回车。好,这里已经成功了,对吧,那CD到。呃,ETC下的库下的PKM目录中。好,那我们去查看一下,到底现在还没有,有没有更改open s SL叉509-in IP server CRT-test g no out。
21:04
好回车。看到了吗?19年29年对吧,那这样的话,我们的证书它的可用时间是不是就变为十年了,那我们只需要这样去使用即可,好,那这就是我们怎么去更改我们的K8S的可用时间,那这个我们的酷idm呢,也会分享给大家对吧。库M被我拷走了是吧?那我们就拿出来库IDM拿到当天目录下,好把这个改个名字叫库IM。杠CT。是。好,SZ。那这个文件呢,到时候也会发给大家,那这样的话,你们是不是就可以不用去自己去编译了,对吧,知道这样的过程即可,好,那这个呢,就是我们这节课的内容。
我来说两句