Kubekey 创建的 K8s 集群中 kube-vip 负载均衡器证书更新指南

背景介绍

在使用 Kubekey 工具部署 Kubernetes 集群时，如果选择 kube-vip 作为内部负载均衡器，在证书更新过程中可能会遇到一些特殊问题。本文将以一个实际案例为基础，详细介绍如何正确更新此类集群的 CA 证书及相关组件证书。

问题现象

用户在使用 Kubekey 部署的 Kubernetes 集群中，配置了 kube-vip 作为内部负载均衡器。当尝试更新 CA 证书时，出现了以下问题：

1. 更新 CA 证书后，kube-vip 服务无法正常运行
2. 集群 API 访问失败，报错"no route to host"
3. kubelet 服务无法正常注册节点信息

根本原因分析

经过深入分析，发现问题的根源在于：

1. CA 证书 SAN 配置不完整：原始 CA 证书未包含 kube-vip 使用的 VIP 地址作为 Subject Alternative Name (SAN)
2. 证书链信任关系：kube-vip 组件依赖的证书链需要完整的信任关系更新
3. 组件重启顺序：证书更新后，相关组件的重启顺序不当导致服务中断

解决方案

1. 准备新的 CA 证书

更新 CA 证书时，必须确保新证书包含 kube-vip 使用的 VIP 地址作为 SAN。以下是正确的证书创建命令：

openssl req -x509 -new -key ca.key -out ca.crt -days 36500 \
    -subj "/CN=kubernetes" \
    -set_serial 651382108260918164 \
    -extensions v3_req \
    -config <(cat << EOF
[req]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn

[dn]
CN = kubernetes

[v3_req]
basicConstraints = critical,CA:true
keyUsage = critical,digitalSignature,keyEncipherment,keyCertSign
subjectKeyIdentifier = hash
subjectAltName = DNS:kubernetes,IP:192.168.30.120,DNS:lb.kubesphere.local
EOF
)

关键点说明：

• subjectAltName 必须包含 kube-vip 的 VIP 地址 (192.168.30.120)
• 同时包含相关 DNS 名称 (lb.kubesphere.local)

2. 更新集群证书

使用 Kubekey 工具更新集群证书：

kk certs renew -f /root/config-sample.yaml

此命令会自动更新以下证书：

• apiserver.crt
• apiserver-kubelet-client.crt
• front-proxy-client.crt
• 以及各种 kubeconfig 文件

3. 处理 kube-vip 组件

证书更新后，kube-vip 可能需要特殊处理：

1. 删除现有的 kube-vip Pod：

crictl rm -f <kube-vip-container-id>

2. 系统会自动重新创建 kube-vip Pod

4. 验证集群状态

完成上述步骤后，执行以下命令验证集群状态：

kubectl get nodes
systemctl status kubelet
ip ad

最佳实践建议

1. 证书规划：在初始部署时就规划好证书的 SAN 列表，包含所有可能的访问方式
2. 更新策略：在非业务高峰期执行证书更新操作
3. 备份机制：更新前备份所有证书和配置文件
4. 监控验证：更新后全面验证各组件功能
5. 文档记录：记录每次证书更新的详细步骤和验证结果

总结

通过 Kubekey 部署的使用 kube-vip 作为负载均衡器的 Kubernetes 集群，在证书更新时需要特别注意 VIP 地址的 SAN 配置。正确的证书创建方式和适当的组件处理顺序是保证更新成功的关键。本文提供的方案已在生产环境验证有效，可作为类似场景的参考解决方案。

对于关键业务系统，建议在测试环境充分验证证书更新流程后，再在生产环境实施。同时，建立完善的证书管理机制，避免证书过期导致的服务中断。