Kubernetes集群证书轮换

时间:2019-08-04 10:23:11

标签: ssl kubernetes

我正在寻找有关证书轮换程序的建议。我一直在练习使用Kelsey Hightower的Kubernetes the hard way从头开始安装集群。理解构成Kubernetes集群的组件之间建立信任关系所需的证书真是太好了。

但是在查阅有关证书轮换的官方文档时,我仅发现this resource,其中仅提到了kubelet组件。

我想证书轮换的想法是更改所有涉及的证书:控制器管理器,kube代理,调度程序,api服务器等。

所以,我的问题是:

  • 关于您建议的主题是否有任何资源?
  • 在组件更新中应遵循的顺序应尽量减少服务中断?我想在一段时间内会出现通信问题,因为某些组件将使用旧证书,而另一些组件将使用新证书
  • 说我备份旧证书(在其他路径中创建副本),并用新生成的证书替换当前文件。我是否仍需要重新启动包含某些证书配置的系统单元(或静态Pod /常规Pod),还是重新“热装”配置?

谢谢

1 个答案:

答案 0 :(得分:0)

side-car proxy service such as Istio

可以更好地解决这一问题

它开箱即用地提供了证书with by default 90 days
rotation is not automated though
使用external provider like Let'sEncrypt can help(如described here)。

相关问题
最新问题