为确保各节点之间的通信安全,请定期监控和更新集群Master节点和Worker节点的证书,包括API Server证书、kubelet证书等。ACK专有集群集群证书过期前两个月左右,控制台会展示证书过期的红色按钮,提示您完成集群证书的自动更新。
注意事项
证书更新过程中,集群的Kube API Server、Kube Controller Manager,Kube Scheduler等系统组件将有短暂的重启过程。如果您的服务逻辑强依赖API Server等系统组件,请您在证书更新前确认服务在更新过程中的可用性。建议您在业务低峰期更新证书。
更新时长依据集群节点个数而定,一般持续5~10分钟。更新成功后,相应证书有效期会延长5年。
备份
节点类型 | 备份内容 |
Master |
说明 其中,/var/lib/kubelet/pki和需要备份的业务数据的路径下,如果不存在数据,则无需备份。 |
Worker |
说明 其中,/var/lib/kubelet/pki/*和需要备份的业务数据路径下,如果不存在数据,则无需备份。 |
证书更新
证书或conf名称 | 路径 | 证书有效期 |
| /etc/kubernetes/pki | 初始证书有效期为10年,更新证书后有效期延长5年。 |
| /etc/kubernetes/pki | 初始证书有效期为10年,更新证书后有效期延长5年。 |
| /etc/kubernetes/pki | 初始证书有效期为10年,更新证书后有效期延长5年。 |
| /etc/kubernetes/pki/dashboard | 初始证书有效期为10年,更新证书后有效期延长5年。 |
说明
| /var/lib/kubelet/pki 说明 如果不存在数据,则无需更新。 | 初始证书有效期为10年,更新证书后有效期延长5年。 |
admin.conf | /etc/kubernetes | 初始证书有效期为10年,更新证书后有效期延长5年。 |
kube.conf | /etc/kubernetes | 初始证书有效期为10年,更新证书后有效期延长5年。 |
controller-manager.conf | /etc/kubernetes | 初始证书有效期为10年,更新证书后有效期延长5年。 |
scheduler.conf | /etc/kubernetes | 初始证书有效期为10年,更新证书后有效期延长5年。 |
kubelet.conf | /etc/kubernetes | 初始证书有效期为10年,更新证书后有效期延长5年。 |
config | ~/.kube/ | 初始证书有效期为10年,更新证书后有效期延长5年。 |
说明 如果不存在kubelet-client.key,则无需更新。 | /var/lib/kubelet/pki 说明 如果不存在数据,则无需更新。 | 初始证书有效期1年,即将过期时自动更新证书,有效期延长1年。 |
证书或conf名称 | 路径 | 证书有效期 |
说明
| /var/lib/kubelet/pki 说明 如果不存在数据,则无需更新。 | 初始证书有效期为10年,更新证书后有效期延长5年。 |
说明 如果不存在kubelet-client.key,则无需更新。 | /var/lib/kubelet/pki 说明 如果不存在数据,则无需更新。 | 初始证书有效期1年,即将过期时自动更新证书,有效期延长1年。 |
kubelet.conf | /etc/kubernetes | 初始证书有效期为10年,更新证书后有效期延长5年。 |
相关文档
您可以通过控制台或命令行更新ACK专有集群即将过期或已过期的证书。具体操作,请参见更新专有版集群即将过期的证书、更新专有版集群已过期的证书。
ACK专有集群etcd证书即将过期时,请及时轮转etcd证书。具体操作,请参见轮转ACK专有版集群etcd证书。