Установка с использованием пользовательских сертификатов CA и ключевой пары SA

k0s автоматически генерирует все необходимые сертификаты в директории <data-dir>/pki (/var/lib/k0s/pki по умолчанию).

Однако иногда требуется иметь сертификаты CA и ключевую пару SA заранее подготовленными. Чтобы это заработало, просто поместите файлы в директории <data-dir>/pki и <data-dir>/pki/etcd:

export LIFETIME=365
mkdir -p /var/lib/k0s/pki/etcd
cd /var/lib/k0s/pki
openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -sha256 -days $LIFETIME -out ca.crt -subj "/CN=Custom CA"
openssl genrsa -out sa.key 2048
openssl rsa -in sa.key -outform PEM -pubout -out sa.pub
cd ./etcd
openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -sha256 -days $LIFETIME -out ca.crt -subj "/CN=Custom CA"

Затем вы можете установить k0s как обычно.

Предварительно сгенерированные токены

Возможно, получить токен для присоединения заранее, без запущенного кластера.

k0s token pre-shared --role worker --cert /var/lib/k0s/pki/ca.crt --url https://<controller-ip>:6443/

Команда выше генерирует токен присоединения и секрет. Секрет должен быть развернут в кластере для авторизации токена. Например, вы можете поместить секрет в директорию манифеста и он будет автоматически развернут.

Пожалуйста, обратите внимание, что если вы генерируете токен для присоединения контроллера, номер порта должен быть 9443 вместо 6443. Подготовка контроллера требует взаимодействия с k0s-apiserver вместо kube-apiserver. Вот пример команды для предварительной генерации токена для контроллера:

k0s token pre-shared --role controller --cert /var/lib/k0s/pki/ca.crt --url https://<controller-ip>:9443/
``````shell
k0s token pre-shared --role controller --cert /var/lib/k0s/pki/ca.crt --url https://<controller-ip>:9443/

См. также

• Сертификационные органы