证书轮换

轮换 Kubernetes 证书可能会导致您的集群在组件重启时暂时不可用。对于生产环境,建议在维护窗口期间执行此操作。

默认情况下,Kubernetes 集群需要证书,而 Rancher 启动的 Kubernetes 集群会自动为 Kubernetes 组件生成证书。在证书过期之前以及如果证书被泄露时,轮换这些证书是很重要的。在证书轮换后,Kubernetes 组件会自动重启。

可以为以下服务轮换证书:

  • admin

  • api-server

  • controller-manager

  • 调度程序

  • rke2-controller

  • rke2-server

  • cloud-controller

  • etcd

  • auth-proxy

  • kubelet

  • kube-proxy

对于未轮换其 webhook 证书的用户,如果证书在一年后过期,请参阅此 页面 以获取帮助。

证书轮换

Rancher 启动的 Kubernetes 集群可以通过 UI 轮换自动生成的证书。

  1. 在左上角,点击 ☰ > 集群管理

  2. 集群 页面,转到您想要轮换证书的集群,然后点击 ⋮ > 轮换证书

  3. 选择您想要轮换的证书。

    • 轮换所有服务证书(保持相同的 CA)

    • 轮换单个服务,并从下拉菜单中选择其中一个服务

  4. 单击 保存

*结果:*所选证书将被轮换,相关服务将重启以开始使用新证书。

补充说明

在 RKE2 中,etcd 和控制平面节点被视为相同的 server 概念。因此,当轮换特定于这些组件的服务证书时,将导致两个组件上的证书被轮换。证书只会针对指定的服务进行更改,但您会看到两个组件的节点进入更新状态。您可能还会看到仅工作器节点进入更新状态。这是在证书更改后重启工作器,以确保它们获取最新的客户端证书。