4.6. certificats etcd
4.6.1. Objectif
les certificats etcd sont signés par le signataire etcd ; ils proviennent d'une autorité de certification (CA) générée par le processus d'amorçage.
4.6.2. Expiration
Les certificats de l'autorité de certification sont valables 10 ans. Les certificats de l'homologue, du client et du serveur ont une durée de validité de trois ans.
4.6.3. Management
Ces certificats ne sont gérés que par le système et font l'objet d'une rotation automatique.
4.6.4. Services
les certificats etcd sont utilisés pour la communication cryptée entre les membres etcd, ainsi que pour le trafic client crypté. Les certificats suivants sont générés et utilisés par etcd et d'autres processus qui communiquent avec etcd :
- Certificats de pairs : Utilisés pour la communication entre les membres d'etcd.
-
Certificats clients : Utilisés pour la communication cryptée entre le serveur et le client. Les certificats clients ne sont actuellement utilisés que par le serveur API, et aucun autre service ne doit se connecter directement à etcd, à l'exception du proxy. Les secrets clients (
etcd-client
,etcd-metric-client
,etcd-metric-signer
, etetcd-signer
) sont ajoutés aux espaces de nomsopenshift-config
,openshift-monitoring
, etopenshift-kube-apiserver
. - Certificats de serveur : Utilisés par le serveur etcd pour authentifier les demandes des clients.
- Certificats de métriques : Tous les consommateurs de métriques se connectent au proxy avec des certificats de clients de métriques.