一 查看证书
提示:由上可知,根证书有效期为10年,其他所有证书有效期为1年。
二 证书类别
由此集群根证书签发的证书有:
提示:kubelet的/var/lib/kubelet/config.yaml配置文件中一般不会明确指定服务端证书,而是只指定 ca 根证书, 让 kubelet 根据本地主机信息自动生成服务端证书并保存到配置的cert-dir文件夹中。
由此汇聚层根证书签发的证书有:
由此etcd根证书签发的证书有:
Serveice Account密钥对仅提供给 kube-controller-manager 使用. kube-controller-manager 通过 sa.key 对 token 进行签名, master 节点通过公钥 sa.pub 进行签名的验证。
延伸:API Server身份验证过程:
API Server的authenticating环节支持多种身份校验方式:client cert、bearer token、static password auth等,这些方式中只要有一种方式通过authenticating(Kubernetes API Server会逐个方式尝试),那么身份校验就会通过。
一旦API Server发现client发起的request使用的是service account token的方式,API Server就会自动采用signed bearer token方式进行身份校验。而request则使用携带的service account token参与验证。该token是API Server在创建service account时用API server启动参数:–service-account-key-file的值签署(sign)生成的。如果–service-account-key-file未传入任何值,那么将默认使用–tls-private-key-file的值,即API Server的私钥(server.key)。
通过authenticating后,API Server将根据Pod username所在的group:system:serviceaccounts和system:serviceaccounts:(NAMESPACE)的权限对其进行authority 和admission control两个环节的处理。在这两个环节中,cluster管理员可以对service account的权限进行细化设置。
kubeadm 创建的集群,kube-proxy、flannel、coreDNS是以 pod 形式运行的,在 pod 中,直接使用 service account 与 kube-apiserver 进行认证,此时就不需要再单独为 kube-proxy 创建证书。
三 更新证书方法一
提示:此方式采用kubeadm默认延期1年时间的策略,若要自定义更长时间,如100年,参考步骤四。
提示:由help可知,证书更新可针对单个证书更新。
提示:更新操作需要在所有master节点执行。
在三台Master上执行重启kube-apiserver、kube-controller、kube-scheduler、etcd这4个容器,以便使证书生效。
提示:启用操作需要在所有master节点执行。
四 更新证书方法二
提示:此方式采用编译kubeadm源码,源码中自定义证书时间,如100年。
提示:ca证书最大时间限定为100年,若要将最大时限也延长,可在cert.go中修改如下maxAge值:
maxAge := time.Hour * 24 * 365 * 10
提示:若要编译其他命令,可参考如下:
# 编译kubelet # make all WHAT=cmd/kubelet GOFLAGS=-v # 编译kubectl # make all WHAT=cmd/kubectl GOFLAGS=-v
#编译完命令在 _output/bin/kubeadm 目录下,
#其中bin是使用了软连接
#真实路径是_output/local/bin/linux/amd64/kubeadm
提示:更新操作需要在所有master节点执行。
所有根证书:ca、etcd-ca、front-proxy-ca只有在init初始化的时候才会更新时间,因此建议对于kubeadm部署Kubernetes,可以在初始化之前使用编译的方式将证书设置为更长时间,如100年。
在三台Master上执行重启kube-apiserver、kube-controller、kube-scheduler、etcd这4个容器,以便使证书生效。
参考3.3即可。
Original: https://www.cnblogs.com/itzgr/p/13370185.html
Author: 木二
Title: 附025.kubeadm部署Kubernetes更新证书
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/607231/
转载文章受原作者版权保护。转载请注明原作者出处!