ACK专有集群证书更新说明

更新时间:2025-02-28 04:27:50

为确保各节点之间的通信安全,请定期监控和更新集群Master节点和Worker节点的证书,包括API Server证书、kubelet证书等。ACK专有集群集群证书过期前两个月左右,控制台会展示证书过期的红色按钮,提示您完成集群证书的自动更新。

注意事项

证书更新过程中,kube-apiserverkube-controller-managerkube-scheduler等系统组件将会短暂重启。如果您的服务逻辑强依赖这些系统组件,请在更新前确认服务的可用性。建议在业务低峰期进行更新。

更新时长受节点数量影响,一般为5~10分钟。更新成功后,相应证书有效期会延长5年。

备份

节点类型

备份内容

节点类型

备份内容

Master

  • /etc/kubernetes/

  • /var/lib/kubelet/pki

  • /etc/systemd/system/kubelet.service.d/10-kubeadm.conf

  • /etc/kubeadm/

  • 需要备份的业务数据

说明

如果/var/lib/kubelet/pki需要备份的业务数据路径下不存在数据,则无需备份。

Worker

  • /etc/kubernetes/

  • /etc/systemd/system/kubelet.service.d/10-kubeadm.conf

  • /var/lib/kubelet/pki/*

  • 需要备份的业务数据

说明

如果/var/lib/kubelet/pki/*需要备份的业务数据路径下不存在数据,则无需备份。

证书更新

表 1. Master节点

证书或conf名称

路径

证书有效期

  • apiserver.crt

  • apiserver.key

/etc/kubernetes/pki

初始证书有效期为10年,更新证书后有效期延长5年。

  • apiserver-kubelet-client.crt

  • apiserver-kubelet-client.key

/etc/kubernetes/pki

初始证书有效期为10年,更新证书后有效期延长5年。

  • front-proxy-client.crt

  • front-proxy-client.key

/etc/kubernetes/pki

初始证书有效期为10年,更新证书后有效期延长5年。

  • dashboard.crt

  • dashboard.key

/etc/kubernetes/pki/dashboard

初始证书有效期为10年,更新证书后有效期延长5年。

  • kubelet.crt

  • kubelet.key

说明
  • 如果不存在kubelet.key,则无需更新。

  • kubelet.crtkubelet.key过期不影响集群使用。

/var/lib/kubelet/pki

说明

如果不存在数据,则无需更新。

初始证书有效期为10年,更新证书后有效期延长5年。

admin.conf

/etc/kubernetes

初始证书有效期为10年,更新证书后有效期延长5年。

kube.conf

/etc/kubernetes

初始证书有效期为10年,更新证书后有效期延长5年。

controller-manager.conf

/etc/kubernetes

初始证书有效期为10年,更新证书后有效期延长5年。

scheduler.conf

/etc/kubernetes

初始证书有效期为10年,更新证书后有效期延长5年。

kubelet.conf

/etc/kubernetes

初始证书有效期为10年,更新证书后有效期延长5年。

config

~/.kube/

初始证书有效期为10年,更新证书后有效期延长5年。

  • kubelet-client-current.pemkubelet-client.crt

  • kubelet-client.key

说明

如果不存在kubelet-client.key,则无需更新。

/var/lib/kubelet/pki

说明

如果不存在数据,则无需更新。

初始证书有效期1年,即将过期时自动更新证书,有效期延长1年。

表 2. Worker节点

证书或conf名称

路径

证书有效期

  • kubelet.crt

  • kubelet.key

说明
  • 如果不存在kubelet.key,则无需更新。

  • kubelet.crtkubelet.key过期不影响集群使用。

/var/lib/kubelet/pki

说明

如果不存在数据,则无需更新。

初始证书有效期为10年,更新证书后有效期延长5年。

  • kubelet-client-current.pemkubelet-client.crt

  • kubelet-client.key

说明

如果不存在kubelet-client.key,则无需更新。

/var/lib/kubelet/pki

说明

如果不存在数据,则无需更新。

初始证书有效期1年,即将过期时自动更新证书,有效期延长1年。

kubelet.conf

/etc/kubernetes

初始证书有效期为10年,更新证书后有效期延长5年。

相关文档

  • 本页导读 (1)
  • 注意事项
  • 备份
  • 证书更新
  • 相关文档
AI助理

点击开启售前

在线咨询服务

你好,我是AI助理

可以解答问题、推荐解决方案等