为确保各节点之间的通信安全,请定期监控和更新集群Master节点和Worker节点的证书,包括API Server证书、kubelet证书等。ACK专有集群集群证书过期前两个月左右,控制台会展示证书过期的红色按钮,提示您完成集群证书的自动更新。
注意事项
证书更新过程中,kube-apiserver、kube-controller-manager、kube-scheduler等系统组件将会短暂重启。如果您的服务逻辑强依赖这些系统组件,请在更新前确认服务的可用性。建议在业务低峰期进行更新。
更新时长受节点数量影响,一般为5~10分钟。更新成功后,相应证书有效期会延长5年。
备份
节点类型 | 备份内容 |
节点类型 | 备份内容 |
Master |
如果/var/lib/kubelet/pki和需要备份的业务数据路径下不存在数据,则无需备份。 |
Worker |
如果/var/lib/kubelet/pki/*和需要备份的业务数据路径下不存在数据,则无需备份。 |
证书更新
表 1. Master节点
证书或conf名称 | 路径 | 证书有效期 |
| /etc/kubernetes/pki | 初始证书有效期为10年,更新证书后有效期延长5年。 |
| /etc/kubernetes/pki | 初始证书有效期为10年,更新证书后有效期延长5年。 |
| /etc/kubernetes/pki | 初始证书有效期为10年,更新证书后有效期延长5年。 |
| /etc/kubernetes/pki/dashboard | 初始证书有效期为10年,更新证书后有效期延长5年。 |
| /var/lib/kubelet/pki 如果不存在数据,则无需更新。 | 初始证书有效期为10年,更新证书后有效期延长5年。 |
admin.conf | /etc/kubernetes | 初始证书有效期为10年,更新证书后有效期延长5年。 |
kube.conf | /etc/kubernetes | 初始证书有效期为10年,更新证书后有效期延长5年。 |
controller-manager.conf | /etc/kubernetes | 初始证书有效期为10年,更新证书后有效期延长5年。 |
scheduler.conf | /etc/kubernetes | 初始证书有效期为10年,更新证书后有效期延长5年。 |
kubelet.conf | /etc/kubernetes | 初始证书有效期为10年,更新证书后有效期延长5年。 |
config | ~/.kube/ | 初始证书有效期为10年,更新证书后有效期延长5年。 |
如果不存在kubelet-client.key,则无需更新。 | /var/lib/kubelet/pki 如果不存在数据,则无需更新。 | 初始证书有效期1年,即将过期时自动更新证书,有效期延长1年。 |
表 2. Worker节点
证书或conf名称 | 路径 | 证书有效期 |
| /var/lib/kubelet/pki 如果不存在数据,则无需更新。 | 初始证书有效期为10年,更新证书后有效期延长5年。 |
如果不存在kubelet-client.key,则无需更新。 | /var/lib/kubelet/pki 如果不存在数据,则无需更新。 | 初始证书有效期1年,即将过期时自动更新证书,有效期延长1年。 |
kubelet.conf | /etc/kubernetes | 初始证书有效期为10年,更新证书后有效期延长5年。 |
相关文档
您可以通过控制台或命令行更新ACK专有集群即将过期或已过期的证书,请参见更新专有版集群即将过期的证书、更新专有版集群已过期的证书。
ACK专有集群etcd证书即将过期时,请及时轮转,请参见轮转ACK专有版集群etcd证书。
- 本页导读 (1)
- 注意事项
- 备份
- 证书更新
- 相关文档