大家的生产环境中 k8s 集群的 CA 证书有效期都是多久？

ExplodingFKL

2024-03-22 14:49:41 +08:00

有效期：改了 kubeadm 源码，默认 100 年
升级：定期升级，但只会升级大版本且大版本出了 2 个修复版本后（无高危漏洞的情况下），例如 1.26.x -> 1.27.2

asilin

2024-03-22 15:19:49 +08:00

手动创建 CA 证书，直接签发了 100 年，避免了官方的固定 10 年期限。

至于控制节点的的证书，则每隔 30 天通过 kubeadm certs renew all 续签更新所有签发的证书有效期一年，再通过下面的命令重启控制节点的相关程序使新证书生效：
kubectl -n kube-system delete pod -l component=kube-apiserver
kubectl -n kube-system delete pod -l component=kube-controller-manager
kubectl -n kube-system delete pod -l component=kube-scheduler

PS：etcd 服务不需要重启，它每次连接时都会读取证书文件，新证书自动生效。

kd9yYw2RyhQwAwzn

2024-03-22 16:03:10 +08:00

一年每年续期

laminux29

2024-03-23 01:34:23 +08:00

能自签的当然直接 100 年拉满，没必要年年换。

gotosre

2024-04-15 08:48:22 +08:00

99 年

Tomcatxde

2024-07-21 15:32:28 +08:00

@asilin 应该还需要重启 kubelet 吧

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/1026086

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.