20.5. Service Serving 证书 Secret


服务用证书 secret 旨在支持需要开箱即用证书的复杂中间件应用程序。它的设置与管理员工具为节点和主控机生成的服务器证书相同。

表 20.1. 服务用(service serving)证书 secret
命名空间Secret

default

router-metrics-tls

kube-service-catalog

controllermanager-ssl

openshift-ansible-service-broker

asb-tls

openshift-console

console-serving-cert

openshift-infra

heapster-certs

openshift-logging

prometheus-tls

openshift-monitoring

alertmanager-main-tls

grafana-tls

kube-state-metrics-tls

node-exporter-tls

prometheus-k8s-tls

openshift-template-service-broker

apiserver-serving-cert

openshift-web-console

webconsole-serving-cert

要保护与您服务的通信,请让集群生成的签名的服务证书/密钥对保存在您的命令空间的 secret 中。要做到这一点,将服务的 service.alpha.openshift.io/serving-cert-secret-name 注解设置为您要用于 secret 的名称。然后,您的 PodSpec 可以挂载该 secret。当它可用时,您的 Pod 就可运行。该证书对内部服务 DNS 名称 <service.name>.<service.namespace>.svc 有效。

证书和密钥采用 PEM 格式,分别存储在 tls.crttls.key 中。当过期时间为一小时时,证书/密钥对会被自动替换。在 secret 的 service.alpha.openshift.io/expiry 注解中查看到期日期,其采用 RFC3339 格式。

其他 pod 可以信任集群创建的证书(仅对内部 DNS 名称进行签名),方法是使用 pod 中自动挂载的 /var/run/secrets/kubernetes.io/serviceaccount/service-ca.crt 文件中的 CA 捆绑。

此功能的签名算法是 x509.SHA256WithRSA。要手动轮转,请删除生成的 secret。这会创建新的证书。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.