三个工具

提前说一下安装K8S集群的时候常涉及到的三个工具
刚开始做二进制安装部署的小伙伴经常会碰上的这三个工具，而且这三个步骤都很繁琐，我杠开始接触的第一个感觉是，很烦，但是如果你们公司有安全部门的时候，，，， 就不得不。。。。

Bootstrapping和openssl和cfssl的区别和联系
Bootstrapping主要关注于Kubernetes集群中组件的初始化和安全通信的设置
Bootstrapping简化了新节点的加入和证书的管理过程，

OpenSSL和cfss是俩类似同质化的工具，具体干活的，用于生成和管理TLS证书的工具。

总结一句就是，OpenSSL和cfssl提供了具体的证书生成和管理功能，和Bootstrapping一起共同确保了Kubernetes集群的安全运行‌，
完成我们二进制部署K8S的板砖工作。

如果想二进制部署的小伙伴可以参考最新我看到的一篇文章 - 高可用版本的二进制K8S部署 写的蛮好：

https://blog.csdn.net/MINGSON666/article/details/118886291

推荐阅读

https://www.yii666.com/blog/478731.html?action=onAll ### 此文章原文链接已经不可见

在 Kube-apiserver 中提供了很多认证方式，其中最常用的就是 TLS 认证，当然也有 BootstrapToken，BasicAuth 认证等，只要有一个认证通过，那么 Kube-apiserver 即认为认证通过。下面就主要讲解 TLS 认证。
延申阅读 HTTPS原理和TLS认证流程全解析：https://zhuanlan.zhihu.com/p/440612523
SSL最早是由网景公司(Netscape)开发的，后被IETF（The Internet Engineering Task Force - 互联网工程任务组）标准化后写入RFC（Request For Comments），SSL在迭代到3.0后才将其标准化，并重新更名为TLS。目前TLS先后迭代了TLS 1.0、TLS 1.1、TLS 1.2和TLS 1.3，目前被广泛使用的是TLS 1.2版本。

延申阅读

https://blog.csdn.net/wteruiycbqqvwt/article/details/102468291

所有与数字证书相关的各种概念和技术，统称为PKI（ Public Key Infrastructure 公钥基础设施）。
PKI通过引入CA，数字证书，LDAP，CRL，OCSP等技术并制定相应标准，有效地解决了公钥与用户映射关系，集中服务性能瓶颈，脱机状态查询等问题。同时为促进并提高证书应用的规范性，还制定了很多与证书应用相关的各种标准。

延申阅读

https://blog.csdn.net/bluishglc/article/details/123617558

1 生成证书的步骤与原理
要理解创建证书的每一步操作必须要先理解创建证书的流程和每一步的含义。生成证书的标准流程是这样的：

生成自己的私钥文件(.key)
基于私钥生成证书请求文件(.csr)
将证书请求文件(.csr)提交给证书颁发机构（CA），CA会对提交的证书请求中的所有信息生成一个摘要，然后使用CA根证书对应的私钥进行加密，这就是所谓的“签名”操作，完成签名后就会得到真正的签发证书(.cer或.crt)
用户拿到签发后的证书，可能需要导入到自己的密钥库中，如Java的keystore，或根据需要再进行各种格式转换(.pem .p12 .jks等等)
注意：

第1/2两步可以通过一个命令合并完成。
第3步向公认可信的CA机构申请证书是线上线下都要进行操作的一系列流程，申请的公司或组织还要提交各种资质和证明，与企业申请某种执照或办理某种手续性质类似，但企业最终拿到的就是一个CA签名的证书文件。
所以，对于企业内部应用来说，完全可以自己创建自己的根证书，自己给自己签发证书，然后通过域控手段强制用户浏览器接受来自相应CA签发的证书。
再次解释一下“签名”的含义，这个概念很关键。在CA签发的证书中，包含申请者的公钥在内，几乎所有的数据都是明文的，也都是申请者自己提供的（当然CA需要审核），签发的证书唯一多出来的信息就是基于申请者提供的所有信息生成了一份摘要，然后用CA自己的私钥对摘要进行了加密，这段加密后的密文被称之为“签名”，这部分数据是返还的签发证书(.cer或.crt)中多出来的关键数据。下图是CA签发证书的原理：

————————————————
版权声明：本文为CSDN博主「　Laurence」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/bluishglc/article/details/123617558

软件授权 sls原理

https://blog.csdn.net/sinat_56310865/article/details/129367338

license授权机制的原理：
（1）生成密钥对，包含私钥和公钥。
（2）授权者保留私钥，使用私钥对授权信息诸如使用截止日期，mac 地址等内容生成 license 签名证书。
（3）公钥给使用者，放在代码中使用，用于验证 license 签名证书是否符合使用条件。

公钥密码的三个主要用途：

加密/解密
数字签名
密钥交换
需要实现授权。简单的授权方式有：

license文件
USB加密狗
网络授权
这些三方软件本身售价不高，采用license文件是成本最低的方式。激活码只有短短几十个字符，我们也可以认为那是license文件的方式。把这些字符放到指定的文件内不就是license文件！license授权的原理也很简单，给入一些数据，只有厂商知道哪些数据是符合的，哪些是不符合的。
————————————————
版权声明：本文为CSDN博主「带ci的玫瑰123」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/sinat_56310865/article/details/129367338

https://zhuanlan.zhihu.com/p/440612523

SSL最早是由网景公司(Netscape)开发的，后被IETF（The Internet Engineering Task Force - 互联网工程任务组）标准化后写入RFC（Request For Comments），SSL在迭代到3.0后才将其标准化，并重新更名为TLS。目前TLS先后迭代了TLS 1.0、TLS 1.1、TLS 1.2和TLS 1.3，目前被广泛使用的是TLS 1.2版本。