k8s 證書更新
阿新 • • 發佈:2022-04-21
k8s 證書更新
- k8s 每個元件之間是通過證書認證相互通訊
- 在程式碼中寫死是預設有效期是一年
證書分類
序號 | 證書作用 | 型別 |
1 | etcd節點間通訊的證書 | 伺服器和客戶端證書(因節點間互相訪問) |
2 | etcd向外提供服務使用 | 伺服器證書(因被訪問) |
3 | apiserver訪問etcd使用 | 客戶端證書 |
4 | apiserver對外提供服務使用 | 伺服器證書 |
5 | kube-controller-manager訪問apiserver使用 | 客戶端證書 |
6 | kube-scheduler訪問 apiserver使用 | 客戶端證書 |
7 | kube-proxy訪問apiserver使用 | 客戶端證書 |
8 | kubelet訪問apiserver使用 | 客戶端證書 |
9 | kubectl訪問apiserver使用 | 客戶端證書 |
10 | kubelet對外提供服務使用 | 伺服器證書 |
11 | apiserver訪問kubelet使用 | 客戶端證書 |
12 | kube-controller-manager生成和驗證service-accout token的證書 | 並不需要證書,實際上使用的是公鑰和私鑰k8s為server accout 生成JWT token,secret將此token載入到pod上公鑰分配到apiserver上用於驗證私鑰分配到pod上用於數字簽名 |
手動更新證書
kubeadm version # 檢視版本 kubeadm certs check-expiration #檢視是否過期 kubeadm certs renew all # 續訂全部證書 kubeadm certs check-expiration #檢視是否更新成功