#ssl #kubernetes #kubeadm
#ssl #kubernetes #kubeadm
Вопрос:
Когда я создаю кластер kubernetes, я получаю сообщение в виде
В качестве гарантии загруженные сертификаты будут удалены через два часа; при необходимости вы можете использовать kubeadm init phase upload-certs --upload-certs их для последующей перезагрузки.
Даже если я выполню приведенную выше команду, когда истечет срок действия новых сертификатов? Есть ли какой-либо способ установить время истечения срока действия вручную?
Ответ №1:
Срок действия сертификатов, сгенерированных kubeadm, составляет 365 дней. По соображениям безопасности сертификаты, которые загружаются в кластер kubernetes как секретные, удаляются через 2 часа, но это не означает, что срок действия сертификатов истекает через 2 часа. Сертификаты по-прежнему будут действительны в течение 365 дней и будут находиться в файловой системе узлов плоскости управления, а при запуске kubeadm init phase upload-certs --upload-certs они будут снова загружены как секретные в кластер Kubernetes.
Из приведенных здесь документов вы можете использовать приведенную ниже команду для проверки истечения срока действия сертификатов
kubeadm certs check-expiration
Комментарии:
1. продолжает ли срок действия секретов истекать через каждые 2 часа, даже после выполнения «kubeadm init phase upload-certs -upload-certs»?
2. Да, срок действия истекает через 2 часа. Это задокументировано здесь kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm-init /…