证书管理 |
您所在的位置:网站首页 › ca证书解码 › 证书管理 |
|
v0.2.0 开始可用 注意:这不是 "Kubernetes 中的 TLS 证书管理"。更多细节请参考Kubernetes 文档和 RKE cluster.yaml 示例。 证书是 Kubernetes 集群的重要组成部分,所有的 Kubernetes 组件都需要用到证书。您可以使用 RKE 的 rke cert命令管理证书。 生成证书签发请求(CSRs)和密钥#如果您想使用证书签发机构创建和签发证书,您可以使用RKE 创建证书签发请求和密钥。 您可以使用证书签发请求和密钥给证书签发机构的证书签名。签名之后,RKE 可以在 Kubernetes 集群中使用这些自定义证书。 轮换证书#默认状态下,Kubenetes 集群使用由 RKE 自动生成的证书。当证书临近过期时,或当证书被泄露时,用户应该及时轮换证书。 完成证书轮换后,Kubernetes 组件会自动重启,重启后,新的证书就会生效。您可以为以下这些服务轮换证书: etcdkubelet (节点证书)kubelet (启用 Kubelet 选项后,可以轮换服务证书。)kube-apiserverkube-proxykube-schedulerkube-controller-managerRKE 具有轮换证书的能力,您可以使用rke cert命令轮换服务证书: rke cert rotate:轮换全部服务证书。rke cert rotate --service :轮换单个服务证书。rke cert rotate --rotate-ca:轮换 CA 证书和全部服务证书。只要您在进行证书轮换,都需要用到cluster.yml 文件。如果您修改了cluster.yml 默认的存储路径,在执行证书轮换的时候,您可以使用rke cert rotate --config指向cluster.yml 的路径。 轮换服务证书#轮换全部服务证书#运行rke cert rotate命令,可以将所有服务正在使用的证书替换为同一证书签发机构颁发的新证书。在命令行工具输入该命令后,返回信息如下。完成证书轮换后,Kubernetes 组件会自动重启,然后新的证书就会生效。 轮换单个服务证书#运行rke cert rotate --service 命令,可以将单个服务正在使用的证书替换为同一证书签发机构颁发的新证书。在命令行工具输入该命令后,返回信息如下。完成证书轮换后,Kubernetes 组件会自动重启,然后新的证书就会生效。 的可选值包括: etcdkubeletkube-apiserverkube-proxykube-schedulerkube-controller-manager以下代码示例演示的是替换kubelet组件使用的证书: rke cert rotate --service kubeletINFO[0000] Initiating Kubernetes clusterINFO[0000] Rotating Kubernetes cluster certificatesINFO[0000] [certificates] Generating Node certificateINFO[0000] Successfully Deployed state file at [./cluster.rkestate]INFO[0000] Rebuilding Kubernetes cluster with rotated certificates.....INFO[0033] [worker] Successfully restarted Worker Plane..轮换 CA 证书#如果需要轮换 CA 证书,您需要为所有的服务轮换证书。使用--rotate-ca选项,可以轮换 CA 证书和所有服务的证书。完成证书轮换后,Kubernetes 组件会自动重启,然后新的证书就会生效。 轮换 CA 证书会导致其他 system pods 重启,这些 pods 重启后也会使用新的 CA 证书: 网络组件 Pods(canal、calico、flannel 和 weave)Ingress Controller podsKubeDNS podsrke cert rotate --rotate-caINFO[0000] Initiating Kubernetes clusterINFO[0000] Rotating Kubernetes cluster certificatesINFO[0000] [certificates] Generating CA kubernetes certificatesINFO[0000] [certificates] Generating Kubernetes API server aggregation layer requestheader client CA certificatesINFO[0000] [certificates] Generating Kubernetes API server certificatesINFO[0000] [certificates] Generating Kube Controller certificatesINFO[0000] [certificates] Generating Kube Scheduler certificatesINFO[0000] [certificates] Generating Kube Proxy certificatesINFO[0000] [certificates] Generating Node certificateINFO[0001] [certificates] Generating admin certificates and kubeconfigINFO[0001] [certificates] Generating Kubernetes API server proxy client certificatesINFO[0001] [certificates] Generating etcd-xxxxx certificate and keyINFO[0001] [certificates] Generating etcd-yyyyy certificate and keyINFO[0001] [certificates] Generating etcd-zzzzz certificate and keyINFO[0001] Successfully Deployed state file at [./cluster.rkestate]INFO[0001] Rebuilding Kubernetes cluster with rotated certificates |
今日新闻 |
推荐新闻 |
| CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |