MENU

K3s运维操作拾遗

March 29, 2023 • 学习,折腾

在大陆境内网络下安装K3s

curl -sfL https://rancher-mirror.oss-cn-beijing.aliyuncs.com/k3s/k3s-install.sh | INSTALL_K3S_MIRROR=cn INSTALL_K3S_EXEC="--tls-san <your node public ip address>" sh -

卸载K3s

sh /usr/local/bin/k3s-uninstall.sh
/usr/local/bin/k3s-agent-uninstall.sh

触发证书轮换

# 在其中一个节点上执行
k3s kubectl --insecure-skip-tls-verify=true delete secret k3s-serving -n kube-system

# 在每个节点上执行
rm -rf /var/lib/rancher/k3s/server/tls/dynamic-cert.json
systemctl restart k3s

mktls bash

./mktls.sh --ssl-domain=k3s --ssl-trusted-domain=kubernetes,kubernetes.default,kubernetes.default.svc,kubernetes.default.svc.cluster.local,localhost --ssl-trusted-ip=10.43.0.1,127.0.0.1,172.16.148.200,172.16.148.201,172.16.148.203,172.16.148.204 --ssl-size=2048 --ssl-date=3650 --k3s-server-ca-key=./CA.key --k3s-server-ca=./CA.crt

mktls.sh

#!/bin/bash -e

# 用于制作k3s的服务证书。默认情况下,k3s证书一年内过期
# 通过官方说法,可以通过删除 `k3s-serving`这个密文
# 以及删除主机的/var/lib/rancher/k3s/server/tls/dynamic-cert.json文件
# 之后,重启k3s服务可以达到轮换证书的目标
# 但是这样太麻烦,这里提供的就是根据k3s的根证书制作一个新的证书,时间可自定义
# 然后把这个证书的key和crt在rancher界面上更换`k3s-serving`这个密文内容即可

help ()
{
    echo  ' ================================================================ '
    echo  ' --ssl-domain: 生成ssl证书需要的主域名,如不指定则默认为www.rancher.local,如果是ip访问服务,则可忽略;'
    echo  ' --ssl-trusted-ip: 一般ssl证书只信任域名的访问请求,有时候需要使用ip去访问server,那么需要给ssl证书添加扩展IP,多个IP用逗号隔开;'
    echo  ' --ssl-trusted-domain: 如果想多个域名访问,则添加扩展域名(SSL_TRUSTED_DOMAIN),多个扩展域名用逗号隔开;'
    echo  ' --ssl-size: ssl加密位数,默认2048;'
    echo  ' --ssl-cn: 国家代码(2个字母的代号),默认CN;'
    echo  ' --ssl-date: 有效天数;'
    echo  ' --k3s-server-ca-key: k3s根证书的key。默认在/var/lib/rancher/k3s/server/tls/server-ca.key'
    echo  ' --k3s-server-ca: k3s根证书。默认在/var/lib/rancher/k3s/server/tls/server-ca.crt'
    echo  ' 使用示例:'
    echo  ' ./k3s-update-server-cert.sh --ssl-domain=www.test.com --ssl-trusted-domain=www.test2.com \ '
    echo  ' --ssl-trusted-ip=1.1.1.1,2.2.2.2,3.3.3.3 --ssl-size=2048 --ssl-date=3650 --k3s-server-ca-key=./CAK.key --k3s-server-ca=./CA.crt'
    echo  ' ================================================================'
}

case "$1" in
    -h|--help) help; exit;;
esac

if [[ $1 == '' ]];then
    help;
    exit;
fi

CMDOPTS="$*"
for OPTS in $CMDOPTS;
do
    key=$(echo ${OPTS} | awk -F"=" '{print $1}' )
    value=$(echo ${OPTS} | awk -F"=" '{print $2}' )
    case "$key" in
        --ssl-domain) SSL_DOMAIN=$value ;;
        --ssl-trusted-ip) SSL_TRUSTED_IP=$value ;;
        --ssl-trusted-domain) SSL_TRUSTED_DOMAIN=$value ;;
        --ssl-size) SSL_SIZE=$value ;;
        --ssl-date) SSL_DATE=$value ;;
        --ca-date) CA_DATE=$value ;;
        --ssl-cn) CN=$value ;;
        --k3s-server-ca-key) CA_KEY=$value ;;
        --k3s-server-ca) CA_CERT=$value ;;
    esac
done

# CA相关配置
CA_DATE=${CA_DATE:-3650}
CA_DOMAIN=${CA_DOMAIN:-'k3s'}
CA_KEY=${CA_KEY:-'/var/lib/rancher/k3s/server/tls/server-ca.key'}
CA_CERT=${CA_CERT:-'/var/lib/rancher/k3s/server/tls/server-ca.crt'}

# ssl相关配置
SSL_CONFIG=${SSL_CONFIG:-$PWD/openssl.cnf}
SSL_DOMAIN=${SSL_DOMAIN:-'www.rancher.local'}
SSL_DATE=${SSL_DATE:-3650}
SSL_SIZE=${SSL_SIZE:-2048}

## 国家代码(2个字母的代号),默认CN;
CN=${CN:-CN}

SSL_KEY=$SSL_DOMAIN.key
SSL_CSR=$SSL_DOMAIN.csr
SSL_CERT=$SSL_DOMAIN.crt

echo -e "\033[32m ---------------------------- \033[0m"
echo -e "\033[32m       | 生成 K3S 证书 |      \033[0m"
echo -e "\033[32m ---------------------------- \033[0m"


echo -e "\033[32m ====> 1. 生成Openssl配置文件 ${SSL_CONFIG} \033[0m"
cat > ${SSL_CONFIG} <<-EOF
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, serverAuth
EOF

if [[ -n ${SSL_TRUSTED_IP} || -n ${SSL_TRUSTED_DOMAIN} ]]; then
    cat >> ${SSL_CONFIG} <<-EOF
subjectAltName = @alt_names
[alt_names]
EOF
    IFS=","
    dns=(${SSL_TRUSTED_DOMAIN})
    dns+=(${SSL_DOMAIN})
    for i in "${!dns[@]}"; do
      echo DNS.$((i+1)) = ${dns[$i]} >> ${SSL_CONFIG}
    done

    if [[ -n ${SSL_TRUSTED_IP} ]]; then
        ip=(${SSL_TRUSTED_IP})
        for i in "${!ip[@]}"; do
          echo IP.$((i+1)) = ${ip[$i]} >> ${SSL_CONFIG}
        done
    fi
fi

echo -e "\033[32m ====> 2. 生成SSL KEY ${SSL_KEY} \033[0m"
openssl genrsa -out ${SSL_KEY} ${SSL_SIZE}

echo -e "\033[32m ====> 3. 生成SSL CSR ${SSL_CSR} \033[0m"
openssl req -sha256 -new -key ${SSL_KEY} -out ${SSL_CSR} -subj "/C=${CN}/CN=${SSL_DOMAIN}" -config ${SSL_CONFIG}

echo -e "\033[32m ====> 4. 生成服务SSL CERT ${SSL_CERT} \033[0m"
openssl x509 -sha256 -req -in ${SSL_CSR} -CA ${CA_CERT} -CAkey ${CA_KEY} -CAcreateserial -out ${SSL_CERT} -days ${SSL_DATE} -extensions v3_req -extfile ${SSL_CONFIG}
Archives QR Code
QR Code for this page
Tipping QR Code