すべてのプロダクト
Search

このプロダクト

    Container Service for Kubernetes:ACK 専用クラスターの証明書の更新

    ドキュメントセンター

    Container Service for Kubernetes:ACK 専用クラスターの証明書の更新

    最終更新日:Mar 12, 2025

    ノード間の通信のセキュリティを確保するために、ACK 専用クラスター 内のマスターノードとワーカーノードの証明書 (API サーバー証明書と kubelet 証明書を含む) を定期的に確認し、更新する必要があります。 ACK 専用クラスター 内の証明書の有効期限が切れる約 2 か月前に、コンソールに赤いボタンが表示され、証明書の更新を促します。

    使用上の注意

    更新プロセス中に、次のシステムコンポーネントが再起動されます。kube-apiserverkube-controller-manager、および kube-scheduler。ビジネスロジックがこれらのシステムコンポーネントに強く依存している場合は、開始する前にビジネスが中断されないことを確認してください。証明書の更新は、オフピーク時に行うことをお勧めします。

    更新プロセスは完了するまでに約 5 ~ 10 分かかります。実際の所要時間は、クラスター内のノードの数によって異なります。証明書が更新されると、その有効期間は 5 年延長されます。

    バックアップ

    ノードタイプ

    バックアップコンテンツ

    Master

    • /etc/kubernetes/

    • /var/lib/kubelet/pki

    • /etc/systemd/system/kubelet.service.d/10-kubeadm.conf

    • /etc/kubeadm/

    • ビジネスに不可欠なデータ

    説明

    /var/lib/kubelet/pki が空であるか、ビジネスに不可欠なデータがない場合は、バックアップは不要です。

    Worker

    • /etc/kubernetes/

    • /etc/systemd/system/kubelet.service.d/10-kubeadm.conf

    • /var/lib/kubelet/pki/*

    • ビジネスに不可欠なデータ

    説明

    /var/lib/kubelet/pki/* が空であるか、ビジネスに不可欠なデータがない場合は、バックアップは不要です。

    証明書の更新

    表 1. マスターノード

    証明書または conf ファイル名

    パス

    有効期間

    • apiserver.crt

    • apiserver.key

    /etc/kubernetes/pki

    初期有効期間は 10 年です。更新後、有効期間は 5 年延長されます。

    • apiserver-kubelet-client.crt

    • apiserver-kubelet-client.key

    /etc/kubernetes/pki

    初期有効期間は 10 年です。更新後、有効期間は 5 年延長されます。

    • front-proxy-client.crt

    • front-proxy-client.key

    /etc/kubernetes/pki

    初期有効期間は 10 年です。更新後、有効期間は 5 年延長されます。

    • dashboard.crt

    • dashboard.key

    /etc/kubernetes/pki/dashboard

    初期有効期間は 10 年です。更新後、有効期間は 5 年延長されます。

    • kubelet.crt

    • kubelet.key

    説明

    • kubelet.key ファイルが存在しない場合は、更新は不要です。

    • kubelet.crtkubelet.key の有効期限が切れても、クラスターを引き続き使用できます。

    /var/lib/kubelet/pki

    説明

    このパスが空の場合、更新は不要です。

    初期有効期間は 10 年です。更新後、有効期間は 5 年延長されます。

    admin.conf

    /etc/kubernetes

    初期有効期間は 10 年です。更新後、有効期間は 5 年延長されます。

    kube.conf

    /etc/kubernetes

    初期有効期間は 10 年です。更新後、有効期間は 5 年延長されます。

    controller-manager.conf

    /etc/kubernetes

    初期有効期間は 10 年です。更新後、有効期間は 5 年延長されます。

    scheduler.conf

    /etc/kubernetes

    初期有効期間は 10 年です。更新後、有効期間は 5 年延長されます。

    kubelet.conf

    /etc/kubernetes

    初期有効期間は 10 年です。更新後、有効期間は 5 年延長されます。

    config

    ~/.kube/

    初期有効期間は 10 年です。更新後、有効期間は 5 年延長されます。

    • kubelet-client-current.pem または kubelet-client.crt

    • kubelet-client.key

    説明

    kubelet-client.key ファイルが存在しない場合は、更新は不要です。

    /var/lib/kubelet/pki

    説明

    このパスが空の場合、更新は不要です。

    初期有効期間は 1 年です。証明書の有効期限が切れそうになると、自動的に更新され、有効期間が 1 年延長されます。

    表 2. ワーカーノード

    証明書または conf ファイル名

    パス

    有効期間

    • kubelet.crt

    • kubelet.key

    説明

    • kubelet.key ファイルが存在しない場合は、更新は不要です。

    • kubelet.crtkubelet.key の有効期限が切れても、クラスターを引き続き使用できます。

    /var/lib/kubelet/pki

    説明

    このパスが空の場合、更新は不要です。

    初期有効期間は 10 年です。更新後、有効期間は 5 年延長されます。

    • kubelet-client-current.pem または kubelet-client.crt

    • kubelet-client.key

    説明

    kubelet-client.key ファイルが存在しない場合は、更新は不要です。

    /var/lib/kubelet/pki

    説明

    このパスが空の場合、更新は不要です。

    初期有効期間は 1 年です。証明書の有効期限が切れそうになると、自動的に更新され、有効期間が 1 年延長されます。

    kubelet.conf

    /etc/kubernetes

    初期有効期間は 10 年です。更新後、有効期間は 5 年延長されます。

    参照