k8s 证书更新
k8s 证书更新
- k8s 每个组件之间是通过证书认证相互通讯
- 在代码中写死是默认有效期是一年
证书分类
| 序号 | 证书作用 | 类型 |
| 1 | etcd节点间通讯的证书 | 服务器和客户端证书(因节点间互相访问) |
| 2 | etcd向外提供服务使用 | 服务器证书(因被访问) |
| 3 | apiserver访问etcd使用 | 客户端证书 |
| 4 | apiserver对外提供服务使用 | 服务器证书 |
| 5 | kube-controller-manager访问apiserver使用 | 客户端证书 |
| 6 | kube-scheduler访问 apiserver使用 | 客户端证书 |
| 7 | kube-proxy访问apiserver使用 | 客户端证书 |
| 8 | kubelet访问apiserver使用 | 客户端证书 |
| 9 | kubectl访问apiserver使用 | 客户端证书 |
| 10 | kubelet对外提供服务使用 | 服务器证书 |
| 11 | apiserver访问kubelet使用 | 客户端证书 |
| 12 | kube-controller-manager生成和验证service-accout token的证书 | 并不需要证书,实际上使用的是公钥和私钥k8s为server accout 生成JWT token,secret将此token加载到pod上公钥分配到apiserver上用于验证私钥分配到pod上用于数字签名 |
手动更新证书
kubeadm version # 查看版本
kubeadm certs check-expiration #查看是否过期
kubeadm certs renew all # 续订全部证书
kubeadm certs check-expiration #查看是否更新成功
本文来自博客园,作者:vx_guanchaoguo0,转载请注明原文链接:https://www.cnblogs.com/guanchaoguo/p/16173137.html
