红帽全球峰会4.6. etcd 证书
4.6.1. 用途
etcd 证书由 etcd-signer 签名; 证书来自由 bootstrap 过程生成的证书颁发机构 (CA)。
4.6.2. 过期
CA 证书有效期为 10 年。对等证书、客户端证书和服务器证书的有效期为三年。
4.6.3. 轮转 etcd 证书
etcd 证书使用 etcd 集群 Operator 自动轮转。但是,如果在证书被自动轮转前必须轮转证书,您可以手动轮转它。
流程
运行以下命令,生成当前签名者证书的备份副本:
oc get secret -n openshift-etcd etcd-signer -oyaml > signer_backup_secret.yaml
$ oc get secret -n openshift-etcd etcd-signer -oyaml > signer_backup_secret.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 运行以下命令来删除现有签名者证书:
oc delete secret -n openshift-etcd etcd-signer
$ oc delete secret -n openshift-etcd etcd-signerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 运行以下命令,等待静态 pod 推出。静态 pod 推出可能需要几分钟时间才能完成。
oc wait --for=condition=Progressing=False --timeout=15m clusteroperator/etcd
$ oc wait --for=condition=Progressing=False --timeout=15m clusteroperator/etcdCopy to Clipboard Copied! Toggle word wrap Toggle overflow
4.6.4. 从捆绑包中删除未使用的证书颁发机构
手动轮转不会立即更新信任捆绑包以删除以前签名者证书的公钥。
签名者证书的公钥在过期日期时被删除,但如果需要在过期前删除公钥,您可以删除它。
流程
运行以下命令来删除密钥:
oc delete configmap -n openshift-etcd etcd-ca-bundle
$ oc delete configmap -n openshift-etcd etcd-ca-bundleCopy to Clipboard Copied! Toggle word wrap Toggle overflow 运行以下命令,等待静态 pod 推出部署。捆绑包使用当前签名者证书重新生成,并删除所有未知或未使用的密钥。
oc adm wait-for-stable-cluster --minimum-stable-period 2m
$ oc adm wait-for-stable-cluster --minimum-stable-period 2mCopy to Clipboard Copied! Toggle word wrap Toggle overflow
4.6.5. etcd 证书轮转警报和指标签名者证书
两个警报告知用户待处理的 etcd 证书过期:
etcdSignerCAExpirationWarning- 在签名者过期前 730 天。
etcdSignerCAExpirationCritical- 发生 365 天,直到签名者过期。
这些警报跟踪 openshift-etcd 命名空间中的签名人证书颁发机构的过期日期。
出于以下原因,您可以轮转证书:
- 您会收到过期警报。
- 私钥被泄漏。
当私钥泄漏时,您必须轮转所有证书。
OpenShift Container Platform 指标系统的 etcd 签名者有一个 etcd signer。在轮转 etcd 证书中替换以下指标参数。
-
etcd-metric-signer而不是etcd-signer -
etcd-metrics-ca-bundle而不是etcd-ca-bundle
4.6.6. 管理
这些证书仅由系统管理,并会自动轮转。
4.6.7. 服务
etcd 证书用于 etcd 对等成员间通信的加密,以及加密客户端流量。以下证书由 etcd 和其他与 etcd 通信的进程生成和使用:
- 对等证书(Peer cerfificate): 用于 etcd 成员之间的通信。
-
客户端证书(Client certificate): 用于加密服务器和客户端间的通信。目前,API 服务器只使用客户端证书,除代理外,其他服务都不应该直接连接到 etcd。客户端 secret (
etcd-client,etcd-metric-client,etcd-metric-signer, 和etcd-signer) 添加到openshift-config,openshift-etcd,openshift-etcd-operator, andopenshift-kube-apiserver命名空间。 - 服务器证书(Server certificate): etcd 服务器用来验证客户端请求。
- 指标证书(Metric certificate):所有使用指标的系统都使用 metric-client 证书连接到代理。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}