【k8s】kubelet 的相关证书

在 Kubernetes 集群中,kubelet 使用的证书通常存放在节点上的特定目录。这些证书用于 kubelet 与 API 服务器之间的安全通信。具体的位置可能会根据你的 Kubernetes 安装方式和配置有所不同,下图是我自己环境【通过 kubeadm 安装的集群】中的kubelet的证书信息

kubelet 的证书通常会存放在 /var/lib/kubelet/pki/ 目录下。这个目录包含以下文件:

  • kubelet-client-current.pem:这是 kubelet 【这时kubelet是作为客户端】用来与 API 服务器进行客户端认证的证书。
  • kubelet.crt:这是 kubelet 【这时kubelet是作为服务端】用来提供 HTTPS 服务(如健康检查和指标)的服务器证书。
  • kubelet.key:这是kubelet进程服务端的私钥。

查看 kubelet 配置文件

你可以通过查看 kubelet 的配置文件来找到证书的确切位置。例如,如果你使用的是 systemd 来管理 kubelet 服务,可以运行以下命令来查看配置文件:

复制代码
sudo cat /etc/kubernetes/kubelet.conf

或者,如果你使用的是 config.yaml 文件,可以查看:

复制代码
sudo cat /var/lib/kubelet/config.yaml

在这些配置文件中,你会看到类似于以下的配置项,它们指定了证书和密钥的位置:

复制代码
users:
- name: system:node:master
  user:
    client-certificate: /var/lib/kubelet/pki/kubelet-client-current.pem
    client-key: /var/lib/kubelet/pki/kubelet-client-current.pem
        【这个证书是kubelet和api-server通信时的客户端的证书信息,因为k8s中https通信都是双向tls验证的,所以需要客户端和服务端都需要配置自己的证书,同时都需要配置信任对方的证书】

[root@node1 pki]#  cat /var/lib/kubelet/config.yaml
apiVersion: kubelet.config.k8s.io/v1beta1
authentication:
  anonymous:
    enabled: false
  webhook:
    cacheTTL: 0s
    enabled: true
  x509:
    clientCAFile: /etc/kubernetes/pki/ca.crt【这个是主节点的k8s顶级根证书】

检查证书

一旦你知道了证书的位置,你可以使用 openssl 命令来查看证书的内容,例如:

复制代码
openssl x509 -in /var/lib/kubelet/pki/kubelet-server-current.pem -text -noout

这将显示 kubelet 服务器证书的详细信息。

总结

  • kubeadm 安装 :证书通常在 /var/lib/kubelet/pki/
  • 其他安装 :查看 kubelet 的配置文件以确定证书的位置。
  • 查看证书 :使用 openssl 工具来查看证书内容。
相关推荐
秦始皇爱找茬2 小时前
docker部署Jenkins工具
docker·容器·jenkins
樽酒ﻬق5 小时前
Kubernetes 常用运维命令整理
运维·容器·kubernetes
Golinie6 小时前
Docker底层原理浅析 | namespace+cgroups+文件系统
docker·容器·文件系统·cgroups·unionfs
樽酒ﻬق7 小时前
深度解析 Kubernetes 配置管理:如何安全使用 ConfigMap 和 Secret
安全·贪心算法·kubernetes
FreeBuf_7 小时前
新型恶意软件采用独特混淆技术劫持Docker镜像
运维·docker·容器
李菠菜10 小时前
CentOS系统指定版本Docker与Docker-Compose在线安装教程
docker·容器·centos
爱吃龙利鱼11 小时前
rocky9.4部署k8s群集v1.28.2版本(containerd)(纯命令)
云原生·容器·kubernetes
lswzw13 小时前
Ubuntu K8s集群安全加固方案
安全·ubuntu·kubernetes
李菠菜14 小时前
Kubernetes上通过Helm部署高可用Redis集群
docker·容器·kubernetes
李菠菜14 小时前
修改KubeSphere外网访问端口
docker·容器·kubernetes