Tenemos un clúster k8 básico implementado usandoKubespray, sus certificados caducan pronto.
openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not '
Para actualizar los certificados, siga las instrucciones proporcionadas enguía oficial.
kubeadm certs renew all
Luego eliminó los archivos de manifiesto /etc/kubernetes/manifests/uno por uno, pero api-serverno los reinició después de mover su manifiesto nuevamente a /etc/kubernetes/manifests, tuvo que reiniciar manualmente el nodo.
Aquí, sugiera reiniciar el contenedor acoplable.
Mis preguntas son:
- ¿Cuál es la forma más segura de actualizar certificados (reinicio de nodo o reinicio de ventana acoplable)?
- ¿Cómo se ve el impacto en el rendimiento durante este proceso de actualización de certificados?
- ¿Existe alguna forma de definir la vida útil del certificado en la instalación de kubespray?
Versión de Kubernetes: 1.18.8
Kubeadm: v1.18.8
SO: Ubuntu 18.04
Respuesta1
- Alternativamente, para eliminar temporalmente sus archivos de manifiesto de /etc/kubernetes/manifests/ y esperar 20 segundos, puede intentar reiniciar la ventana acoplable como se describe en suenlace, he encontrado una solución similaraquí.
-
Cuando se está realizando una actualización del certificado de CA raíz, se reiniciarán los componentes de Kubernetes (apiserver, planificador, controlador-administrador, kubelet) y los pods de aplicaciones. Dado que la actualización es continua, el sistema funcionará normalmente, pero habrá un pequeño impacto en el rendimiento durante la actualización. El usuario debe actualizar el host secuencialmente para minimizar el impacto.https://docs.starlingx.io/specs/specs/stx-6.0/approved/security-2008675-kubernetes-rootca-update.html
- segúneste problemaparece que no existe tal manera.