pki

kb master 运行如下容器 etcd 是 k8s 的核心， 主要负责k8s的核心数据处理及保存， 需要备份该数据，或者做集群 ，服务端口 2379（客户端服务） 2380（节点通信）kube-controller-manager 负责节点，副本，端点，服务账号 等控制kube-scheduler 调度器，选择nodes 给新pod使用kube-apiserver 服务接口， 接收kubectl 或 其它控制程序 对kube里 svc node pod 查询，控制 8080 6443coredns dns 服务器 给kube 网内使用flanneld 给kube 建设一个虚拟网， 也可以用另外的模式kube-proxy 网络代理， 建立实体机器 与 pods 内部的代理，提供给外部使用pause 很轻的容器，有多个， 是为了建立其它容器用。 保证其它容器 共享 namespace 和文件 kb node 运行 pause 其数量 = 应用数量 + 2 kube-proxy flanneld 及 实际应用 etcd 运行参数 "Entrypoint": [ "etcd", "--advertise-client-urls=https://192.168.2.200:2379", "--cert-file=/etc/kubernetes/pki/etcd/server.crt",

目录 认证安全 serviceAccountName 和 userAccount serviceaccount 创建 使用admin 的SA 测试 URL访问kubernetes资源 APIserver客户端定义的配置文件 kubernetes 集群相关的私有CA证书 创建新的apiserver的账号及证书 创建私钥 验证查看生成的证书 设定用户账号 tracy加入上下文 应用刚刚增加的tracy的对应的上下文 测试 保存配置文件 认证安全 任何用途操作集群的资源对象是,都要经历三种安全相关的操作: 任何用户来访问时, 都需要完成kubernetes系统认证操作 认证通过后, 进行授权检查 准入控制, 检查是否有权限操作其它的一些资源操作 认证方式: 令牌认证 SSL 秘钥认证, 也是最常用的方式. RBAC 全程: Role Base AccessControl 授权检查机制 客户端 --> API Server 传递的参数. user: username, uid group: extra: API Request path: /apis/apps/v1/namespaces/default/deployments/myapp-deploy/ 请求动作 HTTP request verb: get post pu delete 映射到kubernetes请求的动作: get

中科大的源质量速度都不错，推荐使用。 这里列出CentOS 7的Base和epel的源。 进入/etc/yum.repos.d/中，将原本的几个repo文件备份，之后新建三个repo文件 内容如下： 1.CentOS-Base.repo: # CentOS-Base.repo # # The mirror system uses the connecting IP address of the client and the # update status of each mirror to pick mirrors that are updated to and # geographically close to the client. You should use this for CentOS updates # unless you are manually picking other mirrors. # # If the mirrorlist= does not work for you, as a fall back you can try the # remarked out baseurl= line instead. # # [base] name=CentOS-$releasever - Base #mirrorlist=http://mirrorlist

译者博客 原文出处 前言 Public Key Infrastructure（PKI)，中文叫做公开密钥基础设施，也就是利用公开密钥机制建立起来的基础设施。但是如果这么解释起来，到底是个什么东西，大家想必是没办法理解的。 现在大家的很多重要活动都是通过网络进行的，那么与之俱来的安全问题就显得非常重要。同时很多安全保障机制都是基于PKI的，如果你因为各种原因（考试？提案？好奇？）想知道各种PKI是什么。那么通过这篇文章，绝对让你5分钟知道什么是PKI。 PKI不好理解的原因是，这个概念包括了很多不同的技术和知识，同时又因为这个概念很庞大，让人感觉无从下手。但是，这个概念其实没有看起来那么复杂，让我们开始说明吧！ 第1分钟 - PKI的核心是身份证明书的发行 PKI的主要目的是用来发行“身份证明书”，网络上因为大家不能见面，所以伪造身份是非常容易的事情。因为要在网络上验明正身，所以这个网络身份证明书就变得很重要了。 相互通信的时候，如果能相互确认身份证明书，那么我们就知道自己是在跟对的人通信。 但是，自己做的身份证明书是不能拿来作为证明的，就像生活中，如果公民身份证可以私人合法制作的话，那么身份证也就没啥可信度了。网络世界中，我们需要一个信得过的发证机关来发行身份证明书，同时自己要好好保管自己的身份证明书，就像派出所给你发了公民身份证，自己要好好保管一样。 PKI的世界里

转：https://www.cnblogs.com/jerain6312/p/8572841.html 前言 Public Key Infrastructure（PKI)，中文叫做公开密钥基础设施，也就是利用公开密钥机制建立起来的基础设施。但是如果这么解释起来，到底是个什么东西，大家想必是没办法理解的。 现在大家的很多重要活动都是通过网络进行的，那么与之俱来的安全问题就显得非常重要。同时很多安全保障机制都是基于PKI的，如果你因为各种原因（考试？提案？好奇？）想知道各种PKI是什么。那么通过这篇文章，绝对让你5分钟知道什么是PKI。 PKI不好理解的原因是，这个概念包括了很多不同的技术和知识，同时又因为这个概念很庞大，让人感觉无从下手。但是，这个概念其实没有看起来那么复杂，让我们开始说明吧！ 第1分钟 - PKI的核心是身份证明书的发行 PKI的主要目的是用来发行“身份证明书”，网络上因为大家不能见面，所以伪造身份是非常容易的事情。因为要在网络上验明正身，所以这个网络身份证明书就变得很重要了。 相互通信的时候，如果能相互确认身份证明书，那么我们就知道自己是在跟对的人通信。 但是，自己做的身份证明书是不能拿来作为证明的，就像生活中，如果公民身份证可以私人合法制作的话，那么身份证也就没啥可信度了。网络世界中，我们需要一个信得过的发证机关来发行身份证明书

I've recently been put in charge of mocking up an Apple product (iPhone Configuration Utility) in Java. One of the sections I've been a bit stuck on is a part about Exchange ActiveSync. In there, it allows you to select a certificate from your Keychain to use as credentials for your EAS account. After some research, I found that it's actually creating a PKCS12 keystore, inserting the private key of the certificate I selected, and encoding that into XML. So far not a big deal. If I create a .p12 file with Keychain Access it uploads without a problem. But I run into a problem when I try to bring

Can some one help me understand how an RSA key literally is stored in these formats? I would like to know the difference between the PKCS formats vs Encodings(DER, PEM). From what I understand PEM is more human readable. Is PEM/DER for keys/certs similar to UTF-8/16 for characters? What is the significance of DER/PEM? Sorry too many questions but fed up googling and getting vague answers. Thanks. Luke Joshua Park PKCS#1 and PKCS#8 (Public-Key Cryptography Standard) are standards that govern the use of particular cryptographic primitives, padding, etc. Both define file formats that are used to

(1).CA认证 　　CA全称Certificate Authority，通常翻译成认证权威或者认证中心，主要用途是为用户发放数字证书。认证中心（CA）的功能：证书发放、证书更新、证书撤销和证书验证。CA证书的作用：身份认证，实现数据的不可否认性。 　　CSR全称Cerificate Signing Request，中文名 证书请求文件 ，是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件，证书申请者只要把CSR文件提交给证书颁发机构后，证书颁发机构使用其根证书的私钥签名就生成了证书文件，也就是颁发给用户的证书。 　　证书签名过程：1、服务器生成证书请求文件；2、认证中心确认申请者的身份真实性；3、认证中学使用根证书的私钥加密证书请求文件，生成证书；4、把证书传给申请者。 　　申请免费的CA认证可以选择：阿里云 https://www.aliyun.com/product/cas?spm=5176.10695662.1171680.1.58564c0dMNos55 ，或FreeSSL https://freessl.cn/ 　1）实验环境 youxi1　　192.168.5.101　　CA认证中心 youxi2　　192.168.5.102　　服务器 　2）由于没有真实域名，所以自己搭建一个CA认证中心，实际只要去申请一个就好了。 [root

　　PKI，全称是 Public Key Infrastructure ，可译为 公钥基础设施 。它是因特网中节点通信的安全保障机制， HTTPS 中的‘ S’ 就来源于PKI。 　　要去学习一个技术，首先要从它的源头考虑——为什么需要PKI？它存在的价值是什么？我们知道，在网络通信中，信息交互的双方需要保证对方真的是自己想要通信的人，以及通信的内容没有被篡改过，即 （1）信息源头可靠（2）信息内容可靠， 用一个关键词总结就是Identity。就此，人们才引入了一套安全的通信机制PKI，说它是机制，因为它不是一项单一的技术，而是一系列安全技术的组合品，首先我们来看它的架构： 　　 　　先来总体介绍PKI架构，我们先它的4个关键组成元素： 　　（1）Certificate Authority（证书授权机构）：负责发放证书的机构 　　（2）Digital Certificate（电子证书）：证明用户身份的电子证明 　　（3）Public key & Private key（公钥&私钥）：每个用户的公钥和私钥，其中公钥包含在由CA授予的Digital Certificate中 　　（4）Certificate Revocation List（撤销证书列表）：列出哪些用户的证书已经被撤销，不再有效 　　一上来引入这些概念和名词似乎会让人摸不到头脑，这和我们所说的安全通信有什么关系