如何解决使端口 10250 上的 Kubelet 证书过期
我在我们的一个 kubernetes 节点上遇到了过期证书的问题。 检查端口 10250 上使用的证书,结果告诉我该证书将于 7 月 23 日到期:
我已经检查了 kubelet 服务使用的证书,该证书显示了以下信息:
我仔细检查了所有证书,我知道位于 /etc/kuberbetes/pki 以及 /var/lib/kubelet/pki。该位置的所有证书均有效且不会过期。
是否还有其他位置包含我在这里缺少的证书?
解决方法
您正在查看的 kubelet-client-current.pem 是 Kubelet 将使用的客户端证书,通过 Kubernetes API 进行身份验证。
您要查找的服务器证书应该是 /var/lib/kubelet/kubelet.crt。
# openssl x509 -text -noout -in /var/lib/kubelet/pki/kubelet-client-current.pem | grep -A4 'X509v3 extensions'
X509v3 extensions:
X509v3 Key Usage: critical
Digital Signature,Key Encipherment
X509v3 Extended Key Usage:
TLS Web Client Authentication
# openssl x509 -text -noout -in /var/lib/kubelet/pki/kubelet.crt | grep -A4 'X509v3 extensions'
X509v3 extensions:
X509v3 Key Usage: critical
Digital Signature,Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication
第一个用于验证客户端,其次用于验证服务器。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。