1.很多博客或者视频都是说etcd证书以及k8s证书需要用两套根证书签发客户端证书;
实际上用一套根证书就可以签发所有的客户端证书;建议是使用两套根证书进行签发,方便后期的维护管理;
2.采取关闭api-server的非安全端口部署策略,必须签发k8s组件间的客户端证书,然后生成对应的kubeconfig文件进行与api_server之间的通信;
3.api-server需要开启enable-bootstrap-token-auth参数才可以启动接收kubelet的token认证请求,由control-manager给kubelet颁发证书;
4.crotoller-manager需要启动client签发证书的参数--cluster-signing-cert-file以及--cluster-signing-key-file;
5.kubelet的使用驱动是systemd,docker使用的是cgroups,启动kubelet服务会出现running状态,实际日志显示kubelet exiting状态,master在approve完请求证书后,执行“kubectl get node”后会得到no resources found的结果,因此需要修改的docker的driver跟kubelet一致的systemd;
浙公网安备 33010602011771号