ETCD证书

自签证书颁发机构(CA)

ca.crt

ca.key

 

 

etcd集群中相互通信事业的客户端证书

peer.crt

peer.key

 

 

pod中定义Liveness探针事业的客户端证书

healthcheck-client.crt

healrhcheck-client.key

 

 

etcd节点服务端证书:

server.crt

server.key

 

 

K8S证书

自签证书颁发机构(CA)

ca.crt

ca.key

 

 

apiserver组件服务端证书

apiserver.crt

apiserver.key

 

 

apiserver连接etcd客户端证书

apiserver-client.crt

apiserver-client.key

 

 

apiserver访问kubelet客户端证书

apiserver-kubelet.crt

apiserver-kubelet.key

 

 

汇聚层(aggregator)证书

front-proxy-cat.crt

front-proxy-cat.key

 

 

代理端使用的客户端证书,左作用代理用户与kube-apiserver认证

front-proxy-client.crt

front-proxy-client.key

 

 

kubelet证书:已默认启用自动轮转

检查客户端证书过期时间

kubeadm alpha certs check-expiration

K8S-kubeadm-集群证书续签

续签所有证书

kubeadm alpha certs renew all
cp /etc/kubernetes/admin.conf /root/.kube/config  #需要手工去拷贝新生产的控制文件

K8S-kubeadm-集群证书续签

续签证书后需要重启服务,使apiserver重新加载生效

可以将/etc/kubernetes/manifests/  kube开头的yaml文件移走几十秒再移动回去

查看当前目录所有证书有效时间

cd /etc/kubernetes/pki/           #证书存放路径
ls | grep crt | xargs -I {} openssl x509 -text -in {} | grep Not   #查看所有的证书时间
openssl x509 -text -in ca.crt | grep Not    # 查看某个证书的有效时间

kubeadm部署的集群证书有效期一年,一年后证书过期就影响业务了

解决方法:

1、官方推荐:一年之内升级一次集群版本,命令:kubeadm upgrade

2、民间方法:修改源代码,再编译生成kubeadm

3、kubeadm手工更新证书

证书存放路径:/etc/kubernetes/pki/

K8S-kubeadm-集群证书续签

kubelet证书:用于连接apiserver使用的,会自动颁发和更新过期时间

存储位置在节点上的:/var/lib/kubelet/pki/

[root@node-1 ~]# cd /var/lib/kubelet/pki/ && ls
kubelet-client-2020-08-01-00-48-19.pem  kubelet-client-current.pem  kubelet.crt  kubelet.key
[root@node-1 pki]#

分类:

技术点:

相关文章: