Aggiornare i certificati nel servizio Azure Kubernetes abilitati da Azure Arc
Si applica a: AKS su Azure Locale 22H2, AKS su Windows Server
La gestione dei certificati Arc del servizio Azure Kubernetes copre due livelli dello stack. In primo luogo, il livello dell'infrastruttura porta su i cluster AKS su nodi Windows Server o nodi locali Azure. Questa operazione viene definita livello MOC (Microsoft On-premises Cloud). Il secondo livello è il livello Kubernetes del servizio Azure Kubernetes. Sono inclusi i certificati dell'infrastruttura Kubernetes di cui è stato eseguito il provisioning automatico come parte del bootstrap del cluster.
Il comportamento dei certificati a livello MOC e kubernetes del servizio Azure Kubernetes presenta alcune differenze a seconda di due fattori: arresto del cluster e aggiornamenti del cluster.
Dipendenze di rinnovo del certificato all'arresto del cluster
| Arresto | Certificati MOC | Servizio Azure Kubernetes abilitato dai certificati Arc Kubernetes |
|---|---|---|
| Arresto inferiore a 30 giorni | Non interessato | Interessato |
| Arrestare più di 30 giorni | Interessato | Interessato |
Dipendenze di rinnovo del certificato dal rinnovo del cluster
| Cluster | Certificati MOC | Servizio Azure Kubernetes abilitato dai certificati Arc Kubernetes |
|---|---|---|
| Cluster aggiornato entro 90 giorni | Non interessato | Non interessato |
| Cluster non aggiornato entro 90 giorni | Non interessato | Non interessato |
Comandi per la correzione dei certificati
| Cluster | Certificati MOC | Servizio Azure Kubernetes abilitato dai certificati del piano di controllo di Arc Kubernetes |
|---|---|---|
| Gestione dei cluster | Update-AksHciCertificates |
N/D |
| Cluster di destinazione | Update-AksHciClusterCertificates -name -fixCloudCredentials |
Update-AksHciClusterCertificates -name -fixKubeletCredentials |
| Bilanciamento del carico | Update-AksHciClusterCertificates -name -patchLoadBalancer -fixCloudCredentials |
Quando i certificati Kubernetes e MOC sono interessati
Quando il cluster è stato arrestato per più di 30 giorni, eseguire i comandi seguenti nella sequenza seguente:
-
Update-AksHciCertificates(per correggere i certificati del cluster di gestione). -
Update-AksHciClusterCertificates –fixkubeletcredentialsper correggere i certificati del piano di controllo del cluster di destinazione. -
Update-AksHciClusterCertificates –fixcloudcredentialsper correggere i certificati MOC del cluster di destinazione.