View Certificate Details

在本章节中，我们将学习，如何在集群中，查看证书信息。

在你加入到一个新的团队，帮助管理他们的业务环境，你是团队的管理员，你被告知环境内有多个认证问题。
因此你请求在整个集群中，对于所有的证书执行检查，你应该怎样做？

首先，最重要是知道集群如何启动的？
对于部署kubernetes集群而言，有多种解决方案，它们使用不同的方式来生成和管理证书

如果你使用是二进制方式安装的集群，你将生成所有的证书

而如果使用的是自动工具，如kubeadm，它将会自动生成和配置集群证书

为什么要讨论这两种部署方式呢？因为这涉及到，去何处查看这些配置信息。

本节，我们将以kubeadm为例，讲解其所涉及到的证书信息

如何获取这些证书信息呢？
我们可以查看api-server的定义文件

上面的这些命名，用来启动api-server，具有所有它所使用到的证书信息，及使用这些证书的场合；

我们可以查看这些证书的具体内容，使用下面的方式解码证书信息

按照上面的方式，查看所有的组件的证书，列举出如下表

证书信息要求被以详细的方式列举到kubernetes文档中

当你遇到认证问题时，你可以查看认证日志
如果是以二进制方式安装，kubernetes各个组件是以本地服务的方式存在操作系统上，所以可以使用操作系统提供的日志查看功能

如果的集群是以Kubeadm方式安装的，各种组件将以POD的方式运行，因此你可以使用kubectl logs，查看POD日志

有些时候，若你的集群核心功能，如api-server或etcd 异常，kubectl命令将无法使用，此时就不得不到docker中查看日志了
使用docker ps -a查看所有退出的容器

然后使用容器ID，查看容器日志