在本章节中,我们将学习,如何在集群中,查看证书信息。
在你加入到一个新的团队,帮助管理他们的业务环境,你是团队的管理员,你被告知环境内有多个认证问题。
因此你请求在整个集群中,对于所有的证书执行检查,你应该怎样做?
首先,最重要是知道集群如何启动的?
对于部署kubernetes集群而言,有多种解决方案,它们使用不同的方式来生成和管理证书
如果你使用是二进制方式安装的集群,你将生成所有的证书
而如果使用的是自动工具,如kubeadm,它将会自动生成和配置集群证书
为什么要讨论这两种部署方式呢?因为这涉及到,去何处查看这些配置信息。
本节,我们将以kubeadm为例,讲解其所涉及到的证书信息
如何获取这些证书信息呢?
我们可以查看api-server的定义文件
上面的这些命名,用来启动api-server,具有所有它所使用到的证书信息,及使用这些证书的场合;
我们可以查看这些证书的具体内容,使用下面的方式解码证书信息
按照上面的方式,查看所有的组件的证书,列举出如下表
证书信息要求被以详细的方式列举到kubernetes文档中
当你遇到认证问题时,你可以查看认证日志
如果是以二进制方式安装,kubernetes各个组件是以本地服务的方式存在操作系统上,所以可以使用操作系统提供的日志查看功能
如果的集群是以Kubeadm方式安装的,各种组件将以POD的方式运行,因此你可以使用kubectl logs,查看POD日志
有些时候,若你的集群核心功能,如api-server或etcd 异常,kubectl命令将无法使用,此时就不得不到docker中查看日志了
使用docker ps -a查看所有退出的容器
然后使用容器ID,查看容器日志
原文地址:http://www.cnblogs.com/cosmos-wong/p/16867491.html
