Aktualisieren von Zertifikaten in AKS, die von Azure Arc aktiviert sind
Gilt für: AKS auf Azure Stack HCI 22H2, AKS unter Windows Server
Die AKS Arc-Zertifikatverwaltung umfasst zwei Ebenen des Stapels. Zunächst werden auf der Infrastrukturebene AKS-Cluster auf Windows Server- oder HCI-Knoten angezeigt. Dies wird als MOC-Ebene (Microsoft On-premises Cloud) bezeichnet. Die zweite Ebene ist die AKS Kubernetes-Ebene. Dazu gehören die Kubernetes-Infrastrukturzertifikate, die automatisch als Teil des Cluster-Bootstrappings bereitgestellt werden.
Das Verhalten der Zertifikate auf der MOC-Ebene und der AKS Kubernetes-Ebene weist einige Unterschiede auf, je nach zwei Faktoren: Herunterfahren von Clustern und Clusterupdates.
Zertifikatverlängerungsabhängigkeiten beim Herunterfahren des Clusters
| Shutdown | MOC-Zertifikate | Von Arc Kubernetes-Zertifikaten aktivierte AKS |
|---|---|---|
| Herunterfahren weniger als 30 Tage | Nicht betroffen | Betroffen |
| Herunterfahren von mehr als 30 Tagen | Betroffen | Betroffen |
Abhängigkeiten der Zertifikaterneuerung von der Clustererneuerung
| Cluster | MOC-Zertifikate | Von Arc Kubernetes-Zertifikaten aktivierte AKS |
|---|---|---|
| Cluster wird innerhalb von 90 Tagen aktualisiert | Nicht betroffen | Nicht betroffen |
| Cluster nicht innerhalb von 90 Tagen aktualisiert | Nicht betroffen | Nicht betroffen |
Befehle zum Beheben von Zertifikaten
| Cluster | MOC-Zertifikate | Von Arc Kubernetes Control-Flugzeugzertifikaten aktivierte AKS |
|---|---|---|
| Verwaltungscluster | Update-AksHciCertificates |
N/V |
| Zielcluster | Update-AksHciClusterCertificates -name -fixCloudCredentials |
Update-AksHciClusterCertificates -name -fixKubeletCredentials |
| Load Balancer | Update-AksHciClusterCertificates -name -patchLoadBalancer -fixCloudCredentials |
Wenn sowohl MOC- als auch AKS Kubernetes-Zertifikate betroffen sind
Wenn der Cluster länger als 30 Tage heruntergefahren wurde, führen Sie die folgenden Befehle in der folgenden Sequenz aus:
Update-AksHciCertificates(um Verwaltungsclusterzertifikate zu beheben).Update-AksHciClusterCertificates –fixkubeletcredentials(um Zielcluster-Steuerungsebenenzertifikate zu beheben).Update-AksHciClusterCertificates –fixcloudcredentials(um MOC-Zielclusterzertifikate zu beheben).