V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
d0m2o08
V2EX  ›  Kubernetes

大家的生产环境中 k8s 集群的 CA 证书有效期都是多久?

  •  
  •   d0m2o08 · 244 天前 · 1877 次点击
    这是一个创建于 244 天前的主题,其中的信息可能已经有所发展或是发生改变。
    大家的生产环境中 k8s 集群的 CA 证书有效期都是多久?
    生产环境的 k8s 定期升级版本么?
    8 条回复    2024-07-21 15:32:28 +08:00
    mdjxyz
        1
    mdjxyz  
       244 天前
    5 年
    swap123
        2
    swap123  
       244 天前
    rke 集群 10 年
    ExplodingFKL
        3
    ExplodingFKL  
       244 天前   ❤️ 1
    有效期:改了 kubeadm 源码, 默认 100 年
    升级: 定期升级,但只会升级大版本且大版本出了 2 个修复版本后(无高危漏洞的情况下),例如 1.26.x -> 1.27.2
    asilin
        4
    asilin  
       244 天前   ❤️ 1
    手动创建 CA 证书,直接签发了 100 年,避免了官方的固定 10 年期限。

    至于控制节点的的证书,则每隔 30 天通过 kubeadm certs renew all 续签更新所有签发的证书有效期一年,再通过下面的命令重启控制节点的相关程序使新证书生效:
    kubectl -n kube-system delete pod -l component=kube-apiserver
    kubectl -n kube-system delete pod -l component=kube-controller-manager
    kubectl -n kube-system delete pod -l component=kube-scheduler

    PS:etcd 服务不需要重启,它每次连接时都会读取证书文件,新证书自动生效。
    kd9yYw2RyhQwAwzn
        5
    kd9yYw2RyhQwAwzn  
       244 天前
    一年 每年续期
    laminux29
        6
    laminux29  
       243 天前
    能自签的当然直接 100 年拉满,没必要年年换。
    gotosre
        7
    gotosre  
       220 天前
    99 年
    Tomcatxde
        8
    Tomcatxde  
       123 天前
    @asilin 应该还需要重启 kubelet 吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3252 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 12:03 · PVG 20:03 · LAX 04:03 · JFK 07:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.