ETCD證書
自簽證書頒發機構(CA)
| ca.crt |
ca.key |
etcd集群中相互通信事業的客戶端證書
| peer.crt |
peer.key |
pod中定義Liveness探針事業的客戶端證書
| healthcheck-client.crt |
healrhcheck-client.key |
etcd節點服務端證書:
| server.crt |
server.key |
K8S證書
自簽證書頒發機構(CA)
| ca.crt |
ca.key |
apiserver組件服務端證書
| apiserver.crt |
apiserver.key |
apiserver連接etcd客戶端證書
| apiserver-client.crt |
apiserver-client.key |
apiserver訪問kubelet客戶端證書
| apiserver-kubelet.crt |
apiserver-kubelet.key |
匯聚層(aggregator)證書
| front-proxy-cat.crt |
front-proxy-cat.key |
代理端使用的客戶端證書,左作用代理用戶與kube-apiserver認證
| front-proxy-client.crt |
front-proxy-client.key |
kubelet證書:已默認啟用自動輪轉
檢查客戶端證書過期時間
kubeadm alpha certs check-expiration
續簽所有證書
kubeadm alpha certs renew all cp /etc/kubernetes/admin.conf /root/.kube/config #需要手工去拷貝新生產的控制文件
續簽證書后需要重啟服務,使apiserver重新加載生效
可以將/etc/kubernetes/manifests/ kube開頭的yaml文件移走幾十秒再移動回去
查看當前目錄所有證書有效時間
cd /etc/kubernetes/pki/ #證書存放路徑
ls | grep crt | xargs -I {} openssl x509 -text -in {} | grep Not #查看所有的證書時間
openssl x509 -text -in ca.crt | grep Not # 查看某個證書的有效時間
kubeadm部署的集群證書有效期一年,一年后證書過期就影響業務了
解決方法:
1、官方推薦:一年之內升級一次集群版本,命令:kubeadm upgrade
2、民間方法:修改源代碼,再編譯生成kubeadm
3、kubeadm手工更新證書
證書存放路徑:/etc/kubernetes/pki/
kubelet證書:用於連接apiserver使用的,會自動頒發和更新過期時間
存儲位置在節點上的:/var/lib/kubelet/pki/
[root@node-1 ~]# cd /var/lib/kubelet/pki/ && ls kubelet-client-2020-08-01-00-48-19.pem kubelet-client-current.pem kubelet.crt kubelet.key [root@node-1 pki]#