Kubernetes指南
Linux性能优化实战eBPF 核心技术与实战SDN指南个人博客
搜索文档…
中文
序言
基础入门
Kubernetes 简介
Kubernetes 基本概念
Kubernetes 101
Kubernetes 201
Kubernetes 集群
核心原理
核心原理
架构原理
设计理念
核心组件
资源对象
部署配置
部署指南
kubectl 安装
单机部署
特性开关
最佳配置
版本支持
集群部署
附加组件
Kubernetes-The-Hard-Way
插件扩展
API 扩展
访问控制
Scheduler 扩展
网络插件
运行时插件 CRI
存储插件
网络策略
Ingress Controller
Cloud Provider 扩展
Device 插件
服务治理
服务治理
Istio
Devops
实践案例
实践概览
资源控制
集群高可用
应用高可用
调试
端口映射
端口转发
用户管理
GPU
HugePage
安全
审计
备份恢复
证书轮换
大规模集群
大数据与机器学习
Serverless
排错指南
排错概览
集群排错
Pod 排错
网络排错
PV 排错
Windows 排错
云平台排错
排错工具
社区贡献
开发指南
单元测试和集成测试
社区贡献
附录
生态圈
学习资源
国内镜像
如何贡献
参考文档
GitBook 提供支持
证书轮换

检查证书过期时间

# For kubeadm provisioned clusters
kubeadm alpha certs check-expiration
# For all clusters
openssl x509 -noout -dates -in /etc/kubernetes/pki/apiserver.crt

更新过期时间

根据集群的不同,可以选择如下几种方法来更新证书过期时间(任选一种即可)。

方法1: 使用 kubeadm 升级集群自动轮换证书

kubeadm upgrade apply --certificate-renewal v1.15.0

方法2: 使用 kubeadm 手动生成并替换证书

# Step 1): Backup old certs and kubeconfigs
mkdir /etc/kubernetes.bak
cp -r /etc/kubernetes/pki/ /etc/kubernetes.bak
cp /etc/kubernetes/*.conf /etc/kubernetes.bak
# Step 2): Renew all certs
kubeadm alpha certs renew all --config kubeadm.yaml
# Step 3): Renew all kubeconfigs
kubeadm alpha kubeconfig user --client-name=admin
kubeadm alpha kubeconfig user --org system:masters --client-name kubernetes-admin > /etc/kubernetes/admin.conf
kubeadm alpha kubeconfig user --client-name system:kube-controller-manager > /etc/kubernetes/controller-manager.conf
kubeadm alpha kubeconfig user --org system:nodes --client-name system:node:$(hostname) > /etc/kubernetes/kubelet.conf
kubeadm alpha kubeconfig user --client-name system:kube-scheduler > /etc/kubernetes/scheduler.conf
# Another way to renew kubeconfigs
# kubeadm init phase kubeconfig all --config kubeadm.yaml
# Step 4): Copy certs/kubeconfigs and restart Kubernetes services

方法3: 非 kubeadm 集群

非 kubeadm 集群请参考 配置 CA 并创建 TLS 证书 重新生成证书,并重启各个 Kubernetes 服务。

kubelet 证书自动轮换

Kubelet 从 v1.8.0 开始支持证书轮换,当证书过期时,可以自动生成新的密钥,并从 Kubernetes API 申请新的证书。
证书轮换的开启方法如下:
# Step 1): Config kube-controller-manager
kube-controller-manager --experimental-cluster-signing-duration=87600h \
--feature-gates=RotateKubeletClientCertificate=true \
...
# Step 2): Config RBAC
# Refer https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet-tls-bootstrapping/#approval
# Step 3): Config Kubelet
kubelet --feature-gates=RotateKubeletClientCertificate=true \
--cert-dir=/var/lib/kubelet/pki \
--rotate-certificates \
--rotate-server-certificates \
...

撤销证书

Kubernetes 目前还不支持通过 Certificate Rovocation List (CRL)撤销证书。所以,目前撤销证书的唯一方法就是使用新的 CA 重新生成所有证书,然后再重启所有服务。
为了避免这个问题,推荐为客户端配置 OIDC 认证,比如可以使用 dex 项目来实现。
注:Etcd 支持 CRL 撤销证书,具体实现可以参考这里

附: 名词解释

  • CA (Certificate Authority):根证书签发机构,用于签发证书(即证明证书是合法的)。
    • CA 拥有私钥 (ca.key) 和证书 (ca.crt,包含公钥)。对于自签名 CA 来说, ca.crt 需要分发给所有客户端。
    • ca.crt 会自动挂载到 Pod 中/var/run/secrets/kubernetes.io/serviceaccount/ca.crt
  • key (Public key or Private key):即公钥或者私钥。
  • csr (Certificate Signing Request):证书签名请求,用于向权威证书颁发机构获得签名证书的申请,申请中通常包含公钥(私钥自己保存)。
  • crt/cer (Certificate):已签发的证书,一般是 PEM 格式(也支持 DER 格式)。

参考文档

实践案例 - 以前
备份恢复
下一个 - 实践案例
大规模集群
最近更新 1yr ago
复制链接
大纲
检查证书过期时间
更新过期时间
方法1: 使用 kubeadm 升级集群自动轮换证书
方法2: 使用 kubeadm 手动生成并替换证书
方法3: 非 kubeadm 集群
kubelet 证书自动轮换
撤销证书
附: 名词解释
参考文档