etcd 集群部署(etcd 外挂)

最新推荐文章于 2026-05-12 12:03:05 发布
原创 最新推荐文章于 2026-05-12 12:03:05 发布 · 271 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#kubernetes #运维 #linux
本文档详细介绍了如何在Kubernetes集群中配置etcd,包括证书的生成、etcd的安装与配置,以及k8s与etcd的连接。首先,通过cfssl工具生成etcd集群所需的证书,然后在三台机器上部署etcd并配置相应的SSL证书。接着,展示了etcd的配置文件内容,解释了各参数含义。最后,给出了kubeadm配置文件中与etcd连接的部分,展示如何连接外部etcd集群。

kubernetes 集群资源清单

IP

hostname

etcd

master

10.0.2.4

master-2-4

etcd1

etcd 外挂

node1

10.0.2.5

node1-2-5

etcd2

使用https

node2

10.0.2.6

node2-2-6

etcd3

 1、准备生成证书工具

wget https://github.com/cloudflare/cfssl/releases/download/v1.6.0/cfssl_1.6.0_linux_amd64 -O cfssl
wget https://github.com/cloudflare/cfssl/releases/download/v1.6.0/cfssljson_1.6.0_linux_amd64 -O cfssljson
wget https://github.com/cloudflare/cfssl/releases/download/v1.6.0/cfssl-certinfo_1.6.0_linux_amd64 -O cfssl-certinfo

chmod +x cfssl*
mv cfssl* /usr/local/bin/

2、准备json 文件,生成证书

下载3个工具,编辑4个json文件,生成5个pem

root@BJ-HW-VM-17-61 etcd]# cat ca-csr.json
{
  "CN": "etcd-ca",
  "key": {
      "algo": "rsa",
      "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Beijing",
      "L": "Beijing",
      "O": "etcd-ca",
      "OU": "etcd-ca"
    }
  ],
  "ca": {
          "expiry": "876000h"
  }
}


cfssl gencert -initca ca-csr.json | cfssljson -bare ca

=> 会生成:ca-key.pem, ca.csr, ca.pem


[root@BJ-HW-VM-17-61 etcd]# cat ca-config.json
{
  "signing": {
      "default": {
          "expiry": "876000h"
        },
      "profiles": {
          "etcd-ca": {
              "usages": [
                  "signing",
                  "key encipherment",
                  "server auth",
                  "client auth"
              ],
              "expiry": "876000h"
          }
      }
  }
}


[root@BJ-HW-VM-17-61 etcd]# cat etcd-csr.json
{
  "CN": "etcd",
  "hosts": [
    "127.0.0.1",
    "10.0.2.4",
    "10.0.2.5",
    "10.0.2.6",
    "algo": "rsa",
    "size": 2048
  },
  "names": [{
    "C": "CN",
    "ST": "Beijing",
    "L": "Beijing",
    "O": "etcd",
    "OU": "etcd"
  }]
}


 cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=etcd-ca etcd-csr.json | cfssljson  -bare etcd
 会生成:etcd-key.pem, etcd.csr, etcd.pem
 

 [root@BJ-HW-VM-17-61 etcd]# cat client-csr.json
{
  "CN": "client",
  "hosts": [""],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [{
    "C": "CN",
    "ST": "Beijing",
    "L": "Beijing",
    "O": "etcd",
    "OU": "etcd"
  }]
}

 cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=etcd-ca client-csr.json | cfssljson  -bare client
 
 
 将来有用的:ca.pem  etcd.pem etcd-key.pem client.pem client-key.pem
 
 同样的文件,复制到3个机器上/etc/etcd/etcdssl/ 下
 
 修改权限 chmod 755 /etc/etcd/etcdssl/*

 3、安装etcd

yum install -y etcd
systemctl enable etcd --now
systemctl restart etcd
systemctl status etcd
systemctl stop etcd

4、配置etcd

cat /etc/etcd/etcd.conf
#[Member]
ETCD_DATA_DIR="/data/etcd"  #目录必须存在
ETCD_LISTEN_PEER_URLS="https://10.0.2.4:2380"  #IP地址根据主机更改
ETCD_LISTEN_CLIENT_URLS="https://10.0.2.4:2379" #IP地址根据主机更改
ETCD_NAME="etcd1"
#[Clustering]
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://10.0.2.4:2380"
ETCD_ADVERTISE_CLIENT_URLS="https://10.0.2.4:2379"
ETCD_INITIAL_CLUSTER="etcd1=https://10.0.2.4:2380,etcd2=https://10.0.2.5:2380,etcd3=https://10.0.2.6:2380"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_INITIAL_CLUSTER_STATE="new"
#[Security]
ETCD_CERT_FILE="/etc/etcd/etcdssl/etcd.pem"
ETCD_KEY_FILE="/etc/etcd/etcdssl/etcd-key.pem"
ETCD_CLIENT_CERT_AUTH="true"
ETCD_TRUSTED_CA_FILE="/etc/etcd/etcdssl/ca.pem"
ETCD_AUTO_TLS="true"
ETCD_PEER_CERT_FILE="/etc/etcd/etcdssl/etcd.pem"
ETCD_PEER_KEY_FILE="/etc/etcd/etcdssl/etcd-key.pem"
ETCD_PEER_CLIENT_CERT_AUTH="true"
ETCD_PEER_TRUSTED_CA_FILE="/etc/etcd/etcdssl/ca.pem"
ETCD_PEER_AUTO_TLS="true"

同时将以上的 etcd.conf 配置文件拷贝到其他两台机器上面

上述配置项的说明

--name:etcd集群中的节点名,这里可以随意,可区分且不重复就行
--listen-peer-urls:监听的用于节点之间通信的url,可监听多个,集群内部将通过这些url进行数据交互(如选举,数据同步等)
--initial-advertise-peer-urls:建议用于节点之间通信的url,节点间将以该值进行通信。
--listen-client-urls:监听的用于客户端通信的url,同样可以监听多个。
--advertise-client-urls:建议使用的客户端通信 url,该值用于 etcd 代理或 etcd 成员与 etcd 节点通信。
--initial-cluster-token: etcd-cluster-1,节点的 token 值,设置该值后集群将生成唯一 id,并为每个节点也生成唯一 id,当使用相同配置文件再启动一个集群时,只要该 token 值不一样,etcd 集群就不会相互影响。
--initial-cluster:也就是集群中所有的 initial-advertise-peer-urls 的合集。
--initial-cluster-state:new,新建集群的标志

5、etcd集群和 k8s 连接(kubeadm-config.yaml)

apiVersion: kubeadm.k8s.io/v1beta3
bootstrapTokens:
- groups:
  - system:bootstrappers:kubeadm:default-node-token
  token: abcdef.0123456789abcdef
  ttl: 24h0m0s
  usages:
  - signing
  - authentication
kind: InitConfiguration
localAPIEndpoint:
  advertiseAddress: 10.0.2.4
  bindPort: 6443
nodeRegistration:
  criSocket: /var/run/dockershim.sock
  imagePullPolicy: IfNotPresent
  name: master-2-4
  taints: null
---
apiServer:
  timeoutForControlPlane: 4m0s
apiVersion: kubeadm.k8s.io/v1beta3
certificatesDir: /etc/kubernetes/pki
imageRepository: registry.cn-hangzhou.aliyuncs.com/google_containers
clusterName: kubernetes
controllerManager: {}
dns: {}
etcd:     
    external:  #表示外部etcd
        endpoints:
        - https://10.0.2.4:2379
        - https://10.0.2.5:2379
        - https://10.0.2.6:2379
        caFile: /etc/etcd/etcdssl/ca.pem
        certFile: /etc/etcd/etcdssl/etcd.pem
        keyFile: /etc/etcd/etcdssl/etcd-key.pem
kind: ClusterConfiguration
kubernetesVersion: 1.22.0
networking:
  dnsDomain: cluster.local
  podSubnet: 10.244.0.0/16
  serviceSubnet: 10.96.0.0/12
scheduler: {}

kubernetes 1.26.1 Etcd部署(外接)保姆级教程
不忘初心,方得始终
02-25 3689
保姆级部署文档
etcd单台部署,启用https以及ca自签名
DevOps海洋的渔夫@专栏
08-12 716
原创内容,转载请注明出处 博主地址:https://aronligithub.github.io/ 前言 在经过上一篇章关于etcd相关技术概述的铺垫,这个篇章就是介绍以及演示单台etcd部署以及使用CFSSL来生成CA证书 环境要求 1、一台安装centos7的服务器 2、具备访问互联网 3、关闭服务器的防火墙以及selinux C...
Kubernetes 1.8.4 手动安装教程-安装Etcd(二)
weixin_33815613的博客
01-07 289
2019独角兽企业重金招聘Python工程师标准>>> ...
云原生|kubernetes|etcd集群详细介绍+安装部署+调优
zsk_john的技术分享专用博客
10-31 2412
kubernetes集群etcd集群的结合方式。etcd集群节点数量的相关说明。扩展式etcd集群架构图。堆叠式etcd集群架构图。二进制手工搭建etcd集群etcd集群的基本特点。
TOS etcd ca 及相关证书续签
qq_36864672的博客
04-14 932
续签 ca 证书需要对应的 ca-key 文件,默认环境部署完成 etcd-ca.key 及 transwarp-warpdrive-ca-key.pem 会不存在,需要从安装包拷贝 gencerts 目录,没有安装包的可以从本文最后下载,上传到第一台 master 节点上,后续续签及生成证书的操作默认都在第一台 master 节点。到此 etcd-ca.pem 证书续期完毕,此时依赖于 etcd-ca.pem 的其他证书(etcd.pem)的有效期即为使用 openssl 命令查看的有效期。
PostgreSQL Patroni 高可用集群部署Linux
最新发布
m0_73669661的博客
05-12 455
Patroni是一款专为PostgreSQL设计的开源高可用集群管理组件,通过Python开发实现自动主从切换、故障自愈等功能。其核心定位是作为外挂集群编排管控层,依赖etcd等分布式配置中心,实现秒级故障转移。部署过程包括:1)三节点安装Patroni及相关依赖;2)配置pg_mypg.yml文件,设置集群参数和节点信息;3)修改目录权限后启动Patroni服务;4)通过patronictl命令和API接口监控集群状态。该方案有效解决了PostgreSQL原生架构的单点故障问题,是生产环境的高可用标准方
k8s集群外挂etcd集群存储数据
ApexPredator的博客
05-24 1304
k8s集群外挂etcd集群存储数据
Kubernetes控制平面组件:etcd高可用解决方案
a1369760658的博客
02-16 1102
前面已经学习了如何搭建一个高可用的etcd集群,但需要大量的手工操作,生产上是有一些解决方案可以做到 自动化的高可用。本节就来学习2种常用的etcd高可用解决方案
二进制安装-k8s集群 一键部署脚本
qq_46389566的博客
08-07 768
二进制安装-k8s集群 一键部署脚本
Kubernetes(二)集群部署---etcd
Gloom丿郁的博客
04-12 302
Kubernetes(二)集群部署 文章目录Kubernetes(二)集群部署前景:K8S全部配完所需的主机自签 SSL 证书Kubernetes二进制部署环境部署master1下载证书制作工具开始制作证书定义ca证书实现证书签名生产证书,生成ca-key.pem ca.pem指定etcd三个节点之间的通信验证生成ETCD证书 server-key.pem server.pem证书拷贝node1节点和node2节点都需要修改node1node2启动 前景: 官方提供的三种部署方式 Kuberne
搭建和使用etcd
勿忘初心
09-10 2183
从零开始搭建etcd分布式存储系统+web管理界面 目录 什么是ETCD.安装 二.搭建单机版 三.搭建集群版 四.监听功能-watch 五.使用rest api 六.可视化界面 etcd-browser etcdkeeper 什么是ETCD 随着CoreOS和Kubernetes等项目在开源社区日益火热,它们项目中都用到的etcd组件作为一个高可用、强一致性的服务发现存储仓库,渐渐为开发人员所关注。 在云计算时代,如何让服务快速透明地接入到计算集群中,如何让共享配置
ETCD命令大全
大叶子不小的博客
06-13 7051
ETCD命令大全 - OrcHome运行etcd执行命令etcd,即可启动server$ etcd2018-10-2311:29:12.8722173.3.72018-10-2311:29:12.87234456536de552018-10-2311:29:12.872400.9.62018-10-2311:29:12.8724372018-10-2311:29:12.872484ofto56https://www.orchome.com/620执行命令etcd,即可启动server Copy最新的AP
etcd集群部署安装
qq_42048263的博客
03-18 1202
在每个节点上创建etcd的system unit文件/usr/lib/systemd/system/etcd.service,注意替换ETCD_NAME和INTERNAL_IP变量的值。注意上面配置 hosts 字段中制定授权使用该证书的 IP 和域名列表,因为现在要生成的证书需要被 etcd 集群各个节点使用,所以这里指定了各个节点的 IP 和 hostname。signing表示此CA证书可以用于签名其他证书,ca.pem中的CA=TRUE。利用cfssl生成etcd所需的相关证书。
k8s 部署外部etcd集群(v3.4.13)
hedao0515的专栏
07-16 3008
k8s 部署外部etcd集群(v3.4.13)
01-ETCD集群部署
qq_16125927的博客
01-04 1859
大意:etcd 是兼具一致性和高可用性的键值数据库,可以作为保存 Kubernetes 所有集群数据的后台数据库。
k8s踩坑()、kubeadm证书/etcd证书过期处理
热门推荐
ywq935的博客
03-08 2万+
故障现象 使用kubeadm部署集群,在运行了一年之后今天,出现k8s api无法调取的现象,使用kubectl命令获取资源均返回如下报错: Unable to connect to the server: x509: certificate has expired or is not yet valid 故障排查 查看apiserver.crt证书的签署日期和过期日期: root@9027:...
kubernetes(三)二进制安装-etcd安装
qq_35382207的博客
01-18 677
部署 etcd(在master节点上执行) 下载安装etcd cd /opt/k8s/work wget https://github.com/etcd-io/etcd/releases/download/v3.3.18/etcd-v3.3.18-linux-amd64.tar.gz tar -xvf etcd-v3.3.18-linux-amd64.tar.gz 安装etcd cd /opt/k8s/work cp etcd-v3.3.18-linux-amd64/etcd* /opt...
Hadoop大数据实战系列文章之Zookeeper
测试帮日记
11-10 558
Zookeeper 是一种分布式的,开源的,应用于分布式应用的协作服务。它提供了一些简单的操作,使得分布式应用可以基于这些接口实现诸如同步、配置维护和分集群或者命名的服务。Zookeeper 很容易编程接入,它使用了一个和文件树结构相似的数据模型。可以使用 Java 或者 C 来进行编程接入。 众所周知,分布式的系统协作服务很难有让人满意的产品。这些协作服务产品很容易陷入一些诸如竞争选择条件或者死锁的陷阱中。Zookeeper的目的就是将分布式服务不再需要由于协作冲突而另外实现协作服务。 本..
etcd-v3之etcdctl查看kubernetes的存储key
纵横四海的博客
12-15 1万+
 操作系统 etcdctl安装 获取etcdctl的二进制,可以自行编译,也可以通过该链接下载响应的符合自己的版本etcd releases 下载好相应的二进制目录,放在PATH路径就成功安装了 接下来设置etcdctl的环境变量 export ETCDCTL_API=3 export ETCDCTL_DIAL_TIMEOUT=3s export ETCDCTL_CACERT=/etc/kub...
etcd 查看所有key_《蹲坑学kubernetes》之8-4:Etcd操作使用
weixin_36182372的博客
12-28 728
本节主要学习Etcd的操作使用图1:Kubernetes之Log1、查看帮助[root@k8s-master ~]# etcdctl --help图2:Etcd的帮助2、set设置某个键的值格式:etcdctl set --ttl '0': 设置该键值的超时时间(),不配置(默认0)则永不超时 例如:[root@k8s-master ~]# etcdctl --ca-file=/usr/loc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值