k8s 证书更新
- k8s 每个组件之间是通过证书认证相互通讯
- 在代码中写死是默认有效期是一年
证书分类
|
|
|
| 序号 |
证书作用 |
类型 |
| 1 |
etcd节点间通讯的证书 |
服务器和客户端证书(因节点间互相访问) |
| 2 |
etcd向外提供服务使用 |
服务器证书(因被访问) |
| 3 |
apiserver访问etcd使用 |
客户端证书 |
| 4 |
apiserver对外提供服务使用 |
服务器证书 |
| 5 |
kube-controller-manager访问apiserver使用 |
客户端证书 |
| 6 |
kube-scheduler访问 apiserver使用 |
客户端证书 |
| 7 |
kube-proxy访问apiserver使用 |
客户端证书 |
| 8 |
kubelet访问apiserver使用 |
客户端证书 |
| 9 |
kubectl访问apiserver使用 |
客户端证书 |
| 10 |
kubelet对外提供服务使用 |
服务器证书 |
| 11 |
apiserver访问kubelet使用 |
客户端证书 |
| 12 |
kube-controller-manager生成和验证service-accout token的证书 |
并不需要证书,实际上使用的是公钥和私钥k8s为server accout 生成JWT token,secret将此token加载到pod上公钥分配到apiserver上用于验证私钥分配到pod上用于数字签名 |
手动更新证书
kubeadm version # 查看版本
kubeadm certs check-expiration #查看是否过期
kubeadm certs renew all # 续订全部证书
kubeadm certs check-expiration #查看是否更新成功