kubelet 使用證書進行 kubernetes api 的認證。 預設情況下,這些證書的簽發期限為一年,所以不需要太頻繁地進行更新。
kubelet程序接收--rotate-certificates引數,該引數決定 kubelet 在當前使用的 證書即將到期時,是否會自動申請新的證書。
kube-controller-manager程序接收--cluster-signing-duration引數 (在 1.19 版本之前為--experimental-cluster-signing-duration),用來 控制簽發證書的有效期限。
當 kubelet 啟動時,如被配置為自舉(使用--bootstrap-kubeconfig引數),kubelet 會使用其初始證書連線到 kubernetes api ,並傳送證書簽名的請求。 可以通過以下方式檢視證書簽名請求的狀態:
kubectl get csr--cert-dir引數指定。 然後 kubelet 會使用新的證書連線到 kubernetes api。
當簽署的證書即將到期時,kubelet 會使用 kubernetes api,發起新的證書簽名請求。 同樣地,控制器管理器會自動批准證書請求,並將簽署的證書附加到證書簽名請求中。 kubelet 會從 kubernetes api 取回簽署的證書,並將其寫入磁碟。 然後它會更新與 kubernetes api 的連線,使用新的證書重新連線到 kubernetes api。
為 kubelet 配置證書輪換
k8s1.9 證書過期及開啟自動續期方案
k8s 之kubelet 元件安裝報錯
1.k8s元件安裝好以後21和22機器都處於running狀態 使用 kubectl get nodes 顯示no.處理大概流程 1.先檢視kubelet元件的日誌 failed to list v1.service get x509 certificate is valid for 127.0.0...
手動為k8s的kubelet生成有效期30年的證書
這個東西的作用有 1.在新部署k8s集群時,就生成30年證書。這樣就不用1年後為kubelet更換證書。2.在證書快到期時,手動生成新證書,替換原證書 不需要替換key 這樣只需要重啟 伺服器或kubelet服務 就能使用新證書,不用等到證書過期,節點被踢出k8s集群,再重新生成。1.沿用kubel...
k8s證書自簽筆記
獲取元件 wget wget wget 建立乙個名為tls的資料夾,並將元件檔案移動到該資料夾下,同時新增可習性許可權 建立tls資料夾 mkdir p tls 移動檔案 mv cfssl linux amd64 tls cfssl mv cfssljson linux amd64 tls cfss...