ACK專有集群證書更新說明
為確保各節(jié)點(diǎn)之間的通信安全,請定期監(jiān)控和更新集群Master節(jié)點(diǎn)和Worker節(jié)點(diǎn)的證書,包括API Server證書、kubelet證書等。ACK專有集群集群證書過期前兩個(gè)月左右,控制臺(tái)會(huì)展示證書過期的紅色按鈕,提示您完成集群證書的自動(dòng)更新。
注意事項(xiàng)
證書更新過程中,集群的Kube API Server、Kube Controller Manager,Kube Scheduler等系統(tǒng)組件將有短暫的重啟過程。如果您的服務(wù)邏輯強(qiáng)依賴API Server等系統(tǒng)組件,請您在證書更新前確認(rèn)服務(wù)在更新過程中的可用性。建議您在業(yè)務(wù)低峰期更新證書。
更新時(shí)長依據(jù)集群節(jié)點(diǎn)個(gè)數(shù)而定,一般持續(xù)5~10分鐘。更新成功后,相應(yīng)證書有效期會(huì)延長5年。
備份
節(jié)點(diǎn)類型 | 備份內(nèi)容 |
Master |
說明 其中,/var/lib/kubelet/pki和需要備份的業(yè)務(wù)數(shù)據(jù)的路徑下,如果不存在數(shù)據(jù),則無需備份。 |
Worker |
說明 其中,/var/lib/kubelet/pki/*和需要備份的業(yè)務(wù)數(shù)據(jù)路徑下,如果不存在數(shù)據(jù),則無需備份。 |
證書更新
證書或conf名稱 | 路徑 | 證書有效期 |
| /etc/kubernetes/pki | 初始證書有效期為10年,更新證書后有效期延長5年。 |
| /etc/kubernetes/pki | 初始證書有效期為10年,更新證書后有效期延長5年。 |
| /etc/kubernetes/pki | 初始證書有效期為10年,更新證書后有效期延長5年。 |
| /etc/kubernetes/pki/dashboard | 初始證書有效期為10年,更新證書后有效期延長5年。 |
說明
| /var/lib/kubelet/pki 說明 如果不存在數(shù)據(jù),則無需更新。 | 初始證書有效期為10年,更新證書后有效期延長5年。 |
admin.conf | /etc/kubernetes | 初始證書有效期為10年,更新證書后有效期延長5年。 |
kube.conf | /etc/kubernetes | 初始證書有效期為10年,更新證書后有效期延長5年。 |
controller-manager.conf | /etc/kubernetes | 初始證書有效期為10年,更新證書后有效期延長5年。 |
scheduler.conf | /etc/kubernetes | 初始證書有效期為10年,更新證書后有效期延長5年。 |
kubelet.conf | /etc/kubernetes | 初始證書有效期為10年,更新證書后有效期延長5年。 |
config | ~/.kube/ | 初始證書有效期為10年,更新證書后有效期延長5年。 |
說明 如果不存在kubelet-client.key,則無需更新。 | /var/lib/kubelet/pki 說明 如果不存在數(shù)據(jù),則無需更新。 | 初始證書有效期1年,即將過期時(shí)自動(dòng)更新證書,有效期延長1年。 |
證書或conf名稱 | 路徑 | 證書有效期 |
說明
| /var/lib/kubelet/pki 說明 如果不存在數(shù)據(jù),則無需更新。 | 初始證書有效期為10年,更新證書后有效期延長5年。 |
說明 如果不存在kubelet-client.key,則無需更新。 | /var/lib/kubelet/pki 說明 如果不存在數(shù)據(jù),則無需更新。 | 初始證書有效期1年,即將過期時(shí)自動(dòng)更新證書,有效期延長1年。 |
kubelet.conf | /etc/kubernetes | 初始證書有效期為10年,更新證書后有效期延長5年。 |
相關(guān)文檔
您可以通過控制臺(tái)或命令行更新ACK專有集群即將過期或已過期的證書。具體操作,請參見更新專有版集群即將過期的證書、更新專有版集群已過期的證書。
ACK專有集群etcd證書即將過期時(shí),請及時(shí)輪轉(zhuǎn)etcd證書。具體操作,請參見輪轉(zhuǎn)ACK專有版集群etcd證書。