之前部署的k8s環境已轉為生產環境跑了2個月,prometheus 只監控了業務和基礎伺服器的namespace。最近發現cattle-system空間下的cattle-node-agent 15臺不正常,看pod日誌查到是證書效驗失敗.
一. 檢查集群現在使用的證書
集群中有4個位置要檢查.
1.k8s的證書目錄 k8s的證書都在這個目錄下/etc/kubernetes/ssl/
通過命令查到集群中正確的證書校驗值是7f3開頭的
可以看到deployment下clutser和node取值都是正確,但是pod裡面的那個99開頭的校驗值那來的,好疑惑。
重新刪除pod,新拉起來的pod還是取99那個證書…
於是整理了下思路,這個生產環境之前不是我搭建的,其中一些隱情不了解,但是已經處理到這裡,大概已經猜到為啥會出現這種問題了。
生產環總共23臺機器,前面8臺agent是正常,但是啟動時間是2月前了,剩下的15個節點是分了2批加進去的,但是agent都不正常。
明天繼續寫,今天太忙了
證書鏈 證書校驗
回到證書鏈,在證書認證過程中,由於校驗方,通常為瀏覽器中,繼承的是權威ca機構的根證書,因此對於一些經授權的中間證書,瀏覽器卻識別不了 當然也有部分中間證書可以被識別 因此仔部署https 時,需要構建正確的證書鏈,告訴驗證方,該伺服器證書和它的簽署機構,以及根證書 權威ca機構 之間的關係。在證書...
X 509證書校驗
x.509證書校驗 這裡討論openssl 中如何應用 crls 和來自證書體系的其他證書來進行證書校驗。為此需要使用 x.509 包的功能函式。ssl協議實現已經處理了很多這裡將要討論的東西,即使如此,一些工作還是需要我們親歷親為,特別是當我們希望在證書校驗過程中使用 crls 的校驗,大部分情況...
Python 開啟ssl證書校驗
python ssl文件 有啥不懂,看文件唄 1 主要方法介紹 sslcontext.load cert chain certfile,keyfile none,password none 載入私鑰和相應的證書。證書檔案字串必須是pem格式的單個檔案的路徑,其中包含證書以及建立證書真實性所需的任何數...