ETCD证书
自签证书颁发机构(CA)
|
ca.crt |
ca.key |
etcd集群中相互通信事业的客户端证书
|
peer.crt |
peer.key |
pod中定义Liveness探针事业的客户端证书
|
healthcheck-client.crt |
healrhcheck-client.key |
etcd节点服务端证书:
|
server.crt |
server.key |
K8S证书
自签证书颁发机构(CA)
|
ca.crt |
ca.key |
apiserver组件服务端证书
|
apiserver.crt |
apiserver.key |
apiserver连接etcd客户端证书
|
apiserver-client.crt |
apiserver-client.key |
apiserver访问kubelet客户端证书
|
apiserver-kubelet.crt |
apiserver-kubelet.key |
汇聚层(aggregator)证书
|
front-proxy-cat.crt |
front-proxy-cat.key |
代理端使用的客户端证书,左作用代理用户与kube-apiserver认证
|
front-proxy-client.crt |
front-proxy-client.key |
kubelet证书:已默认启用自动轮转
检查客户端证书过期时间
kubeadm alpha certs check-expiration
续签所有证书
kubeadm alpha certs renew all cp /etc/kubernetes/admin.conf /root/.kube/config #需要手工去拷贝新生产的控制文件
续签证书后需要重启服务,使apiserver重新加载生效
可以将/etc/kubernetes/manifests/ kube开头的yaml文件移走几十秒再移动回去
查看当前目录所有证书有效时间
cd /etc/kubernetes/pki/ #证书存放路径
ls | grep crt | xargs -I {} openssl x509 -text -in {} | grep Not #查看所有的证书时间
openssl x509 -text -in ca.crt | grep Not # 查看某个证书的有效时间
kubeadm部署的集群证书有效期一年,一年后证书过期就影响业务了
解决方法:
1、官方推荐:一年之内升级一次集群版本,命令:kubeadm upgrade
2、民间方法:修改源代码,再编译生成kubeadm
3、kubeadm手工更新证书
证书存放路径:/etc/kubernetes/pki/
kubelet证书:用于连接apiserver使用的,会自动颁发和更新过期时间
存储位置在节点上的:/var/lib/kubelet/pki/
[root@node-1 ~]# cd /var/lib/kubelet/pki/ && ls kubelet-client-2020-08-01-00-48-19.pem kubelet-client-current.pem kubelet.crt kubelet.key [root@node-1 pki]#