2.7. etcd 证书
用途
etcd 证书由 etcd-signer 签名; 证书来自由 bootstrap 过程生成的证书颁发机构 (CA)。
位置
CA 证书:
-
etcd CA 证书:
/etc/ssl/etcd/ca.crt -
etcd metric CA 证书:
/etc/ssl/etcd/metric-ca.crt
-
etcd CA 证书:
-
服务器证书:
/etc/ssl/etcd/system:etcd-server -
客户端证书:
<api_server_pod_directory>/secrets/etcd-client/ -
对等系统证书:
/etc/ssl/etcd/system:etcd-peer -
指标证书:
/etc/ssl/etcd/metric-signer
过期
CA 证书有效期为 10 年。对等证书、客户端证书和服务器证书的有效期为三年。
管理
这些证书由系统而不是用户管理。
服务
etcd 证书用于 etcd 对等成员间通信的加密,以及加密客户端流量。以下证书由 etcd 和其他与 etcd 通信的进程生成和使用:
- 对等证书(Peer cerfificate): 用于 etcd 成员之间的通信。
-
客户端证书(Client certificate): 用于加密服务器和客户端间的通信。目前,API 服务器只使用客户端证书,除代理外,其他服务都不应该直接连接到 etcd。客户端 secret(
etcd-client、etcd-metric-client、etcd-metric-signer和etcd-signer)添加到openshift-config、openshift-monitoring和openshift-kube-apiserver命名空间中。 - 服务器证书(Server certificate): etcd 服务器用来验证客户端请求。
- 指标证书(Metric certificate):所有使用指标的系统都使用 metric-client 证书连接到代理。
