4.4. 节点证书
4.4.1. 用途
节点证书由集群签名,并允许 kubelet 与 Kubernetes API 服务器通信。它们来自 kubelet CA 证书,该证书由 bootstrap 过程生成。
4.4.2. 位置
kubelet CA 证书位于 openshift-kube-apiserver-operator 命名空间中的 kube-apiserver-to-kubelet-signer secret 中。
4.4.3. 管理
这些证书由系统而不是用户管理。
4.4.4. 过期
节点证书会在 292 天后自动轮转,并在 365 天后过期。
4.4.5. 续订
Kubernetes API Server Operator 会在 292 天自动生成新的 kube-apiserver-to-kubelet-signer CA 证书。旧的 CA 证书在 365 天后被删除。当 kubelet CA 证书被续订或删除时,节点不会重启。
集群管理员可以通过运行以下命令手动续订 kubelet CA 证书:
$ oc annotate -n openshift-kube-apiserver-operator secret kube-apiserver-to-kubelet-signer auth.openshift.io/certificate-not-after-
