文章目录
- Certificates
- 控制面的证书
- kubelet证书
- 新添加节点
- 现有节点
- Reference
Certificates
- Creating the CA key and certificate
- Distributing the CA certificate to the master nodes, where kube-apiserver is running
- Creating a key and certificate for each kubelet; strongly recommended to have a unique one, with a unique CN, for each kubelet
- Signing the kubelet certificate using the CA key
- Distributing the kubelet key and signed certificate to the specific node on which the kubelet is running.
需要的证书
1、控制面的所有证书,见官方文档
2、kubelet的证书,通过API Server或者使用其ca.cert证书签发。
控制面的证书
首先你得有个CA的key和cert
ca.key不用重新生成
ca.cert如果快要过期了,需要重新生成
检查ca.cert的过期时间
openssl x509 -noout -text -in ./ca.cert
API Server启动参数中需要引用这个CA证书,所以CA证书需要被拷贝到所有master节点上(运行API Server的节点)
API Server的启动参数中应该包含类似下面的配置
--client-ca-file=/etc/kubernetes/pki/ca.cert
kubelet证书
新添加节点
新添加的节点需要使用TLS bootstrapping
现有节点
对于现有节点需要更新证书的情况,直接使用CA签发即可文章来源:https://uudwc.com/A/NZvv
Reference
[1] TLS bootstrapping文章来源地址https://uudwc.com/A/NZvv
