4.4. 节点证书

4.4.1. 用途

节点证书由集群签名,并允许 kubelet 与 Kubernetes API 服务器通信。它们来自 kubelet CA 证书,该证书由 bootstrap 过程生成。

4.4.2. 位置

kubelet CA 证书位于 openshift-kube-apiserver-operator 命名空间中的 kube-apiserver-to-kubelet-signer secret 中。

4.4.3. 管理

这些证书由系统而不是用户管理。

4.4.4. 过期

节点证书会在 292 天后自动轮转,并在 365 天后过期。

4.4.5. 续订

Kubernetes API Server Operator 会在 292 天自动生成新的 kube-apiserver-to-kubelet-signer CA 证书。旧的 CA 证书在 365 天后被删除。当 kubelet CA 证书被续订或删除时,节点不会重启。

集群管理员可以通过运行以下命令手动续订 kubelet CA 证书: 

$ oc annotate -n openshift-kube-apiserver-operator secret kube-apiserver-to-kubelet-signer auth.openshift.io/certificate-not-after-

其他资源