自簽證書頒發機構(ca)
ca.crt
ca.key
etcd集群中相互通訊事業的客戶端證書
peer.crt
peer.key
pod中定義liveness探針事業的客戶端證書
healthcheck-client.crt
healrhcheck-client.key
etcd節點服務端證書:
server.crt
server.key
自簽證書頒發機構(ca)
ca.crt
ca.key
apiserver元件服務端證書
apiserver.crt
apiserver.key
apiserver連線etcd客戶端證書
apiserver-client.crt
apiserver-client.key
apiserver訪問kubelet客戶端證書
apiserver-kubelet.crt
apiserver-kubelet.key
匯聚層(aggregator)證書
front-proxy-cat.crt
front-proxy-cat.key
**端使用的客戶端證書,左作用**使用者與kube-apiserver認證
front-proxy-client.crt
front-proxy-client.key
kubelet證書:已預設啟用自動輪轉
檢查客戶端證書過期時間
續簽所有證書
kubeadm alpha certs renew allcp /etc/kubernetes/admin.conf /root/.kube/config #需要手工去拷貝新生產的控制檔案
可以將/etc/kubernetes/manifests/ kube開頭的yaml檔案移走幾十秒再移動回去
檢視當前目錄所有證書有效時間
cd /etc/kubernetes/pki/ #證書存放路徑kubeadm部署的集群證書有效期一年,一年後證書過期就影響業務了ls | grep crt | xargs -i {} openssl x509 -text -in {} | grep not #檢視所有的證書時間
openssl x509 -text -in ca.crt | grep not # 檢視某個證書的有效時間
解決方法:
1、官方推薦:一年之內公升級一次集群版本,命令:kubeadm upgrade
2、民間方法:修改源**,再編譯生成kubeadm
3、kubeadm手工更新證書
證書存放路徑:/etc/kubernetes/pki/
kubelet證書:用於連線apiserver使用的,會自動頒發和更新過期時間
儲存位置在節點上的:/var/lib/kubelet/pki/
[root@node-1 ~]# cd /var/lib/kubelet/pki/ && lskubelet-client-2020-08-01-00-48-19.pem kubelet-client-current.pem kubelet.crt kubelet.key
[root@node-1 pki]#
K8S kubeadm國內映象安裝方式
使用國內映象站 檢視過版本之後就可以指定版本安裝 sudo apt get install y kubelet 1.14.0 00 kubeadm 1.14.0 00 kubectl 1.14.0 00 sudo apt mark hold kubelet 1.14.0 00 kubeadm 1.1...
自建k8s集群證書到期的更換
1 說明 一般正常安裝k8s集群,集群證書的有效期是一年,包括以下證書 apiserver apiserver kubelet client apiserver etcd client front proxy client etcd server etcd peer etcd healthcheck...
K8S 2 k8s 集群搭建
kubeadm是官方社群推出的乙個用於快速部署kubernetes集群的工具。這個工具能通過兩條指令完成乙個kubernetes集群的部署 建立乙個 master 節點 kubeadm init 將乙個 node 節點加入到當前集群中 kubeadm join 在開始之前,部署 kubernetes...