首页
/ Kubekey 安装的 Kubernetes 集群 CA 证书更新与节点扩容实践

Kubekey 安装的 Kubernetes 集群 CA 证书更新与节点扩容实践

2025-06-30 04:48:36作者:鲍丁臣Ursa

前言

在 Kubernetes 生产环境中,证书管理是集群运维的重要环节。本文将详细介绍如何为 Kubekey 安装的 Kubernetes 集群更新 CA 证书,并确保在证书更新后能够正常扩容集群节点。这一过程对于维护集群安全性和扩展性至关重要。

准备工作

在开始操作前,需要确认以下事项:

  1. 确保操作节点保存有完整的 kubeadm-config.yaml 配置文件
  2. 确认集群使用 containerd 作为容器运行时
  3. 确认 etcd 采用二进制安装方式部署
  4. 准备所有节点的 IP 地址列表,包括 master 和 worker 节点

操作步骤详解

1. 基础环境准备

首先需要安装 yq 工具用于处理 YAML 配置文件:

wget https://github.com/mikefarah/yq/releases/latest/download/yq_linux_amd64 -O /usr/local/bin/yq
chmod +x /usr/local/bin/yq

2. 配置免密登录

为方便后续操作,需要配置所有节点间的 SSH 免密登录:

# 生成 SSH 密钥对
ssh-keygen -t rsa -N "" -f ~/.ssh/id_rsa

# 分发公钥到所有节点
for ip in "${ALL_NODES[@]}"; do
    ssh-copy-id -o StrictHostKeyChecking=no "$ip"
done

3. 备份与清理

安全操作的第一步是备份现有配置:

for ip in "${ALL_NODES[@]}"; do
    ssh $ip "mkdir -p /root/k8s-backup && cp -rp /etc/kubernetes/ /root/k8s-backup/$CURRENT_TIME-kubernetes/"
    ssh $ip "systemctl stop kubelet"
    ssh $ip "rm -rf /etc/kubernetes/pki/* /etc/kubernetes/*.conf /var/lib/kubelet/pki/*"
done

4. 证书更新核心步骤

4.1 完善证书 SAN 列表

确保所有节点 IP 和主机名都包含在证书 SAN 列表中:

for ip in "${ALL_NODES[@]}"; do
    hostname=$(getent hosts "$ip" | awk '{print $3}')
    hostname_cluster=$(getent hosts "$ip" | awk '{print $2}')
    
    if ! yq e '(select(document_index == 0) | .apiServer.certSANs[])' "$CONFIG_FILE" | grep -q "$ip"; then
        yq e '(select(document_index == 0) | .apiServer.certSANs) += ["'"$ip"'"]' -i "$CONFIG_FILE"
    fi
    # 类似处理主机名和集群域名...
done

4.2 生成新证书

使用 kubeadm 生成各类新证书:

for i in ca apiserver apiserver-kubelet-client front-proxy-ca front-proxy-client; do    
    kubeadm init phase certs $i --config $CONFIG_FILE
done

kubeadm init phase certs sa

4.3 分发新证书

将新生成的证书分发到所有节点:

for ip in "${ALL_NODES[@]}"; do
    scp /etc/kubernetes/pki/* $ip:/etc/kubernetes/pki/
done

5. 配置文件更新

5.1 生成 kubeconfig 文件

在 master 节点生成完整的 kubeconfig 文件:

for ip in "${K8S_MASTER_IP[@]}"; do
    ssh $ip "kubeadm init phase kubeconfig all --config /etc/kubernetes/kubeadm-config.yaml"
done

在 worker 节点仅生成 kubelet 配置文件:

for ip in "${K8S_WORK_IP[@]}"; do
    ssh $ip "kubeadm init phase kubeconfig kubelet --config /etc/kubernetes/kubeadm-config.yaml"
done

6. 服务重启与验证

6.1 重启关键服务

for ip in "${ALL_NODES[@]}"; do
    ssh $ip "systemctl daemon-reload && systemctl restart kubelet && systemctl restart containerd"
done

6.2 重启控制平面组件

for ip in "${ALL_NODES[@]}"; do
    ssh $ip "crictl ps |grep -E 'kube-apiserver|kube-controller-manager|kube-scheduler' | awk -F ' ' '{print $1}' |xargs crictl rm -f"
done

6.3 重启网络和核心组件

kubectl -n kube-system delete pods -l k8s-app=calico-node --force
kubectl -n kube-system delete pods -l k8s-app=calico-kube-controllers --force
kubectl -n kube-system delete pods -l k8s-app=kube-proxy --force
kubectl -n kube-system delete pods -l k8s-app=kube-dns --force
kubectl -n kube-system delete pods -l k8s-app=nodelocaldns --force

7. 证书批准与配置更新

批准所有待处理的证书签名请求:

for i in $(kubectl get csr | awk 'NR > 1{print $1}'); do
    kubectl certificate approve $i
done

更新集群配置:

kubeadm init phase upload-config all --config /etc/kubernetes/kubeadm-config.yaml

更新集群信息中的 CA 证书:

base64_encoded_ca="$(base64 -w0 /etc/kubernetes/pki/ca.crt)"
kubectl get cm/cluster-info --namespace kube-public -o yaml | \
    /bin/sed "s/\(certificate-authority-data:\).*/\1 ${base64_encoded_ca}/" | \
    kubectl apply -f -

8. 工作负载重启

重启所有使用 serviceAccount 的 Pod:

for namespace in $(kubectl get namespace -o jsonpath='{.items[*].metadata.name}'); do
    for name in $(kubectl get deployments -n $namespace -o jsonpath='{.items[*].metadata.name}'); do
        kubectl patch deployment -n ${namespace} ${name} -p '{"spec":{"template":{"metadata":{"annotations":{"ca-rotation": "1"}}}}}';
    done
    # 类似处理 DaemonSet 和 StatefulSet...
done

节点扩容验证

完成上述操作后,可以使用 Kubekey 正常扩容集群节点。创建包含新节点的配置文件后执行:

kk add nodes -f expanded-config.yaml

注意事项

  1. 生产环境操作前务必做好完整备份
  2. 建议先在测试环境验证整个流程
  3. 如需长期证书,需要提前编译修改 kubeadm
  4. 操作过程中如遇问题,可回滚到备份状态

总结

通过本文介绍的方法,可以安全地为 Kubekey 安装的 Kubernetes 集群更新 CA 证书,并确保证书更新后集群节点扩容功能正常。这一过程涵盖了证书更新、配置同步、服务重启等关键步骤,是 Kubernetes 集群维护的重要技能。

登录后查看全文
热门项目推荐
相关项目推荐

热门内容推荐

最新内容推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
144
1.93 K
kernelkernel
deepin linux kernel
C
22
6
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
192
274
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
145
189
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
930
553
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
423
392
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Jupyter Notebook
75
66
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.11 K
0
openHiTLS-examplesopenHiTLS-examples
本仓将为广大高校开发者提供开源实践和创新开发平台,收集和展示openHiTLS示例代码及创新应用,欢迎大家投稿,让全世界看到您的精巧密码实现设计,也让更多人通过您的优秀成果,理解、喜爱上密码技术。
C
64
509