k8s 證書更新
阿新 • • 發佈:2022-04-21
k8s 證書更新
- k8s 每個元件之間是通過證書認證相互通訊
- 在程式碼中寫死是預設有效期是一年
證書分類
| 序號 | 證書作用 | 型別 |
| 1 | etcd節點間通訊的證書 | 伺服器和客戶端證書(因節點間互相訪問) |
| 2 | etcd向外提供服務使用 | 伺服器證書(因被訪問) |
| 3 | apiserver訪問etcd使用 | 客戶端證書 |
| 4 | apiserver對外提供服務使用 | 伺服器證書 |
| 5 | kube-controller-manager訪問apiserver使用 | 客戶端證書 |
| 6 | kube-scheduler訪問 apiserver使用 | 客戶端證書 |
| 7 | kube-proxy訪問apiserver使用 | 客戶端證書 |
| 8 | kubelet訪問apiserver使用 | 客戶端證書 |
| 9 | kubectl訪問apiserver使用 | 客戶端證書 |
| 10 | kubelet對外提供服務使用 | 伺服器證書 |
| 11 | apiserver訪問kubelet使用 | 客戶端證書 |
| 12 | kube-controller-manager生成和驗證service-accout token的證書 | 並不需要證書,實際上使用的是公鑰和私鑰k8s為server accout 生成JWT token,secret將此token載入到pod上公鑰分配到apiserver上用於驗證私鑰分配到pod上用於數字簽名 |
手動更新證書
kubeadm version # 檢視版本 kubeadm certs check-expiration #檢視是否過期 kubeadm certs renew all # 續訂全部證書 kubeadm certs check-expiration #檢視是否更新成功