更新由 Azure Arc 启用的 AKS 中的证书

适用于：Azure Stack HCI 22H2 上的 AKS、Windows Server 上的 AKS

AKS Arc 证书管理涵盖堆栈的两层。 首先，基础结构层在 Windows Server 或 HCI 节点上启动 AKS 群集。 这称为 MOC （Microsoft本地云）层。 第二层是 AKS Kubernetes 层。 这包括在群集引导过程中自动预配的 Kubernetes 基础结构证书。

MOC 层和 AKS Kubernetes 层证书的行为有一些差异，具体取决于两个因素：群集关闭和群集更新。

群集关闭时证书续订依赖项

关机	MOC 证书	由 Arc Kubernetes 证书启用的 AKS
关闭时间少于 30 天	不受影响	受影响
关闭超过 30 天	受影响	受影响

群集续订时证书续订依赖项

Cluster	MOC 证书	由 Arc Kubernetes 证书启用的 AKS
群集在 90 天内更新	不受影响	不受影响
群集未在 90 天内更新	不受影响	不受影响

用于修复证书的命令

Cluster	MOC 证书	Arc Kubernetes 控制平面证书启用的 AKS
管理群集	Update-AksHciCertificates	空值
目标群集	Update-AksHciClusterCertificates -name -fixCloudCredentials	Update-AksHciClusterCertificates -name -fixKubeletCredentials
负载均衡器	Update-AksHciClusterCertificates -name -patchLoadBalancer -fixCloudCredentials

当 MOC 和 AKS Kubernetes 证书都受到影响时

当群集关闭超过 30 天时，按以下顺序运行以下命令：

1. Update-AksHciCertificates （修复管理群集证书）。
2. Update-AksHciClusterCertificates –fixkubeletcredentials （修复目标群集控制平面证书）。
3. Update-AksHciClusterCertificates –fixcloudcredentials （修复目标群集 MOC 证书）。

后续步骤

• 证书概述
• Update-AksHciCertificates
• Update-AksHciClusterCertificates