ACK专有集群证书更新说明

为确保各节点之间的通信安全,请定期监控和更新集群Master节点和Worker节点的证书,包括API Server证书、kubelet证书等。ACK专有集群集群证书过期前两个月左右,控制台会展示证书过期的红色按钮,提示您完成集群证书的自动更新。

注意事项

证书更新过程中,集群的Kube API Server、Kube Controller Manager,Kube Scheduler等系统组件将有短暂的重启过程。如果您的服务逻辑强依赖API Server等系统组件,请您在证书更新前确认服务在更新过程中的可用性。建议您在业务低峰期更新证书。

更新时长依据集群节点个数而定,一般持续5~10分钟。更新成功后,相应证书有效期会延长5年。

备份

节点类型

备份内容

Master

  • /etc/kubernetes/

  • /var/lib/kubelet/pki

  • /etc/systemd/system/kubelet.service.d/10-kubeadm.conf

  • /etc/kubeadm/

  • 需要备份的业务数据

说明

其中,/var/lib/kubelet/pki需要备份的业务数据的路径下,如果不存在数据,则无需备份。

Worker

  • /etc/kubernetes/

  • /etc/systemd/system/kubelet.service.d/10-kubeadm.conf

  • /var/lib/kubelet/pki/*

  • 需要备份的业务数据

说明

其中,/var/lib/kubelet/pki/*需要备份的业务数据路径下,如果不存在数据,则无需备份。

证书更新

表 1. Master节点

证书或conf名称

路径

证书有效期

  • apiserver.crt

  • apiserver.key

/etc/kubernetes/pki

初始证书有效期为10年,更新证书后有效期延长5年。

  • apiserver-kubelet-client.crt

  • apiserver-kubelet-client.key

/etc/kubernetes/pki

初始证书有效期为10年,更新证书后有效期延长5年。

  • front-proxy-client.crt

  • front-proxy-client.key

/etc/kubernetes/pki

初始证书有效期为10年,更新证书后有效期延长5年。

  • dashboard.crt

  • dashboard.key

/etc/kubernetes/pki/dashboard

初始证书有效期为10年,更新证书后有效期延长5年。

  • kubelet.crt

  • kubelet.key

说明
  • 如果不存在kubelet.key,则无需更新。

  • kubelet.crtkubelet.key过期不影响集群使用。

/var/lib/kubelet/pki

说明

如果不存在数据,则无需更新。

初始证书有效期为10年,更新证书后有效期延长5年。

admin.conf

/etc/kubernetes

初始证书有效期为10年,更新证书后有效期延长5年。

kube.conf

/etc/kubernetes

初始证书有效期为10年,更新证书后有效期延长5年。

controller-manager.conf

/etc/kubernetes

初始证书有效期为10年,更新证书后有效期延长5年。

scheduler.conf

/etc/kubernetes

初始证书有效期为10年,更新证书后有效期延长5年。

kubelet.conf

/etc/kubernetes

初始证书有效期为10年,更新证书后有效期延长5年。

config

~/.kube/

初始证书有效期为10年,更新证书后有效期延长5年。

  • kubelet-client-current.pemkubelet-client.crt

  • kubelet-client.key

说明

如果不存在kubelet-client.key,则无需更新。

/var/lib/kubelet/pki

说明

如果不存在数据,则无需更新。

初始证书有效期1年,即将过期时自动更新证书,有效期延长1年。

表 2. Worker节点

证书或conf名称

路径

证书有效期

  • kubelet.crt

  • kubelet.key

说明
  • 如果不存在kubelet.key,则无需更新。

  • kubelet.crtkubelet.key过期不影响集群使用。

/var/lib/kubelet/pki

说明

如果不存在数据,则无需更新。

初始证书有效期为10年,更新证书后有效期延长5年。

  • kubelet-client-current.pemkubelet-client.crt

  • kubelet-client.key

说明

如果不存在kubelet-client.key,则无需更新。

/var/lib/kubelet/pki

说明

如果不存在数据,则无需更新。

初始证书有效期1年,即将过期时自动更新证书,有效期延长1年。

kubelet.conf

/etc/kubernetes

初始证书有效期为10年,更新证书后有效期延长5年。

相关文档