2.7. etcd 证书

用途

etcd 证书由 etcd-signer 签名; 证书来自由 bootstrap 过程生成的证书颁发机构 (CA)。

位置

  • CA 证书:

    • etcd CA 证书: /etc/ssl/etcd/ca.crt
    • etcd metric CA 证书: /etc/ssl/etcd/metric-ca.crt
  • 服务器证书: /etc/ssl/etcd/system:etcd-server
  • 客户端证书: <api_server_pod_directory>/secrets/etcd-client/
  • 对等系统证书: /etc/ssl/etcd/system:etcd-peer
  • 指标证书: /etc/ssl/etcd/metric-signer

过期

CA 证书有效期为 10 年。对等证书、客户端证书和服务器证书的有效期为三年。

管理

这些证书由系统而不是用户管理。

服务

etcd 证书用于 etcd 对等成员间通信的加密,以及加密客户端流量。以下证书由 etcd 和其他与 etcd 通信的进程生成和使用:

  • 对等证书(Peer cerfificate): 用于 etcd 成员之间的通信。
  • 客户端证书(Client certificate): 用于加密服务器和客户端间的通信。目前,API 服务器只使用客户端证书,除代理外,其他服务都不应该直接连接到 etcd。客户端 secret(etcd-clientetcd-metric-clientetcd-metric-signeretcd-signer)添加到 openshift-configopenshift-monitoringopenshift-kube-apiserver 命名空间中。
  • 服务器证书(Server certificate): etcd 服务器用来验证客户端请求。
  • 指标证书(Metric certificate):所有使用指标的系统都使用 metric-client 证书连接到代理。

为了尽快向用户提供最新的信息,本文档可能会包括由机器自动从英文原文翻译的内容。如需更多信息,请参阅此说明。