6 - 证书管理

    如果希望使用权威CA机构颁发的证书,可以使用RKE生成证书签名请求(CSRs)文件和密钥

    您可以把证书签名请求(CSRs)文件和密钥交给权威CA机构进行签名颁发证书。在证书签名之后,RKE可以通过 功能来使用这些证书。

    二、证书轮换

    默认情况下,Kubernetes集群需要证书,RKE将自动为集群生成证书。在证书过期之前以及证书受到破坏时,轮换些证书非常重要。

    • etcd
    • kubelet
    • kube-apiserver
    • kube-proxy

    • kube-controller-managerRKE可以通过一些简单的命令轮换自动生成的证书:

    • 使用相同的CA轮换所有服务证书

    • 使用相同的CA为单个服务轮换证书
    • 轮换CA和所有服务证书当您准备轮换证书时, RKE 配置文件 是必须的。运行rke cert rotate命令时,可通过—config指定配置路径。

    使用 进行相同的CA轮换所有服务证书

    如果需要轮换CA证书,则需要轮换所有服务证书,因为它们需要使用新轮换的CA证书签名。在CA和所有服务证书轮换之后,这些服务将自动重新启动,以便使用新证书运行。

    轮换CA证书将导致重新启动其他系统服务,这些系统服务也将使用新的CA证书。这包括:

    • Networking pods (canal, calico, flannel, and weave)
    • KubeDNS podsrke cert rotate —rotate-ca