K8S-kubeadm-集群证书续签
ETCD证书
自签证书颁发机构(CA)
ca.crt |
ca.key |
etcd集群中相互通信事业的客户端证书
peer.crt |
peer.key |
pod中定义Liveness探针事业的客户端证书
healthcheck-client.crt |
healrhcheck-client.key |
etcd节点服务端证书:
server.crt |
server.key |
K8S证书
自签证书颁发机构(CA)
ca.crt |
ca.key |
apiserver组件服务端证书
apiserver.crt |
apiserver.key |
apiserver连接etcd客户端证书
apiserver-client.crt |
apiserver-client.key |
apiserver访问kubelet客户端证书
apiserver-kubelet.crt |
apiserver-kubelet.key |
汇聚层(aggregator)证书
front-proxy-cat.crt |
front-proxy-cat.key |
代理端使用的客户端证书,左作用代理用户与kube-apiserver认证
front-proxy-client.crt |
front-proxy-client.key |
kubelet证书:已默认启用自动轮转
检查客户端证书过期时间
1 | kubeadm alpha certs check-expiration |
续签所有证书
1 2 | kubeadm alpha certs renew all cp /etc/kubernetes/admin.conf /root/.kube/config #需要手工去拷贝新生产的控制文件 |
续签证书后需要重启服务,使apiserver重新加载生效
可以将/etc/kubernetes/manifests/ kube开头的yaml文件移走几十秒再移动回去
查看当前目录所有证书有效时间
1 2 3 | cd /etc/kubernetes/pki/ #证书存放路径 ls | grep crt | xargs -I {} openssl x509 -text - in {} | grep Not #查看所有的证书时间 openssl x509 -text - in ca.crt | grep Not # 查看某个证书的有效时间 |
kubeadm部署的集群证书有效期一年,一年后证书过期就影响业务了
解决方法:
1、官方推荐:一年之内升级一次集群版本,命令:kubeadm upgrade
2、民间方法:修改源代码,再编译生成kubeadm
3、kubeadm手工更新证书
证书存放路径:/etc/kubernetes/pki/
kubelet证书:用于连接apiserver使用的,会自动颁发和更新过期时间
存储位置在节点上的:/var/lib/kubelet/pki/
1 2 3 | [root@node-1 ~]# cd / var /lib/kubelet/pki/ && ls kubelet-client-2020-08-01-00-48-19.pem kubelet-client-current.pem kubelet.crt kubelet.key [root@node-1 pki]# |
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 基于Microsoft.Extensions.AI核心库实现RAG应用
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
· 开发者必知的日志记录最佳实践
· SQL Server 2025 AI相关能力初探
· Linux系列:如何用 C#调用 C方法造成内存泄露
· 震惊!C++程序真的从main开始吗?99%的程序员都答错了
· 别再用vector<bool>了!Google高级工程师:这可能是STL最大的设计失误
· 单元测试从入门到精通
· 【硬核科普】Trae如何「偷看」你的代码?零基础破解AI编程运行原理
· 上周热点回顾(3.3-3.9)