2.7. etcd 証明書

目的

etcd 証明書は etcd-signer によって署名されます。それらの証明書はブートストラッププロセスで生成される認証局 (CA) から提供されます。

場所

  • CA 証明書:

    • etcd CA 証明書: /etc/ssl/etcd/ca.crt
    • etcd メトリクス CA 証明書: /etc/ssl/etcd/metric-ca.crt
  • サーバー証明書: /etc/ssl/etcd/system:etcd-server
  • クライアント証明書: <api_server_pod_directory>/secrets/etcd-client/
  • ピア証明書: /etc/ssl/etcd/system:etcd-peer
  • メトリクス証明書: /etc/ssl/etcd/metric-signer

有効期限

CA 証明書は 10 年間有効です。ピア、クライアント、およびサーバーの証明書は 3 年間有効です。

管理

これらの証明書は、ユーザーではなく、システムによって管理されます。

サービス

etcd 証明書は、etcd メンバーのピア間の暗号化された通信と暗号化されたクライアントトラフィックに使用されます。以下の証明書は etcd および etcd と通信する他のプロセスによって生成され、使用されます。

  • ピア証明書: etcd メンバー間の通信に使用されます。
  • クライアント証明書: 暗号化されたサーバーとクライアント間の通信に使用されます。現時点で、クライアント証明書は API サーバーによってのみ使用され、プロキシーを除いてその他のサービスは etcd に直接接続されません。クライアントシークレット (etcd-clientetcd-metric-clientetcd-metric-signer、および etcd-signer) は openshift-configopenshift-monitoring、および openshift-kube-apiserver namespace に追加されます。
  • サーバー証明書: クライアント要求を認証するために etcd サーバーによって使用されます。
  • メトリクス証明書: メトリクスのすべてのコンシューマーは metric-client 証明書を使用してプロキシーに接続します。