本文档主要为您介绍证书更新相关自动化操作说明。

当集群证书过期前两个月左右,在容器服务控制台集群列表页面会出现更新证书的红色按钮提示您更新证书,同时您会收到相应的站内信或短信通知。

您可以通过单击该红色按钮进行集群证书的自动更新,整个更新时长依据集群节点个数而定,一般5~10分钟即可完成更新。更新成功后相应证书有效期会延长五年。

注意事项

  • 在证书更新过程中集群kube-apiserver,kube-controller-manager,kube-scheduler,kubelet等系统组件将有短暂的重启过程,如果您的服务逻辑强依赖apiserver等系统组件,请您在证书更新前确认服务在更新过程中的可用性。
  • 建议您在非业务高峰期执行更新操作。

备份

节点类型 备份内容
Master
  • /etc/kubernetes/
  • /var/lib/kubelet/pki
  • /etc/systemd/system/kubelet.service.d/10-kubeadm.conf
  • /etc/kubeadm/
  • 需要备份的业务数据
说明 其中, /var/lib/kubelet/pki需要备份的业务数据的路径下,如果不存在数据,则无需备份。
Worker
  • /etc/kubernetes/
  • /etc/systemd/system/kubelet.service.d/10-kubeadm.conf
  • /var/lib/kubelet/pki/*
  • 需要备份的业务数据
说明 其中, /var/lib/kubelet/pki/*需要备份的业务数据路径下,如果不存在数据,则无需备份。

证书更新

表 1. Master节点
证书或conf名称 路径
  • apiserver.crt
  • apiserver.key
/etc/kubernetes/pki
  • apiserver-kubelet-client.crt
  • apiserver-kubelet-client.key
/etc/kubernetes/pki
  • front-proxy-client.crt
  • front-proxy-client.key
/etc/kubernetes/pki
  • dashboard.crt
  • dashboard.key
/etc/kubernetes/pki/dashboard
  • kubelet.crt
  • kubelet.key
说明 如果不存在 kubelet.key,则无需更新。
/var/lib/kubelet/pki
说明 如果不存在数据,则无需更新。
admin.conf /etc/kubernetes
kube.conf /etc/kubernetes
controller-manager.conf /etc/kubernetes
scheduler.conf /etc/kubernetes
kubelet.conf /etc/kubernetes
config ~/.kube/
  • kubelet-client-current.pem或kubelet-client.crt\
  • kubelet-client.key
说明 如果不存在 kubelet-client.key,则无需更新。
/var/lib/kubelet/pki
说明 如果不存在数据,则无需更新。
表 2. Worker节点
证书或conf名称 路径
  • kubelet.crt
  • kubelet.key
说明 如果不存在 kubelet.key,则无需更新。
/var/lib/kubelet/pki
说明 如果不存在数据,则无需更新。
  • kubelet-client-current.pem或kubelet-client.crt
  • kubelet-client.key
说明 如果不存在 kubelet-client.key,则无需更新。
/var/lib/kubelet/pki
说明 如果不存在数据,则无需更新。
kubelet.conf /etc/kubernetes