다음을 사용하여 베어메탈 k8 클러스터를 배포했습니다.큐브스프레이, 인증서가 곧 만료됩니다.
openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not '
인증서를 업데이트하려면 다음 지침을 따르십시오.공식 가이드.
kubeadm certs renew all
그런 다음 매니페스트 파일을 /etc/kubernetes/manifests/하나씩 제거했지만 api-server매니페스트를 다시 으로 옮긴 후 다시 시작하지 않아 /etc/kubernetes/manifests수동으로 노드를 다시 시작해야 했습니다.
여기, Docker 컨테이너를 다시 시작하는 것이 좋습니다.
내 질문은 다음과 같습니다
- 인증서를 업데이트하는 가장 안전한 방법은 무엇입니까(노드 다시 시작 또는 docker 다시 시작).
- 이 인증서 업데이트 프로세스 중 성능에 어떤 영향을 미치나요?
- kubespray 설치 시 인증서 수명을 정의하는 방법이 있나요?
쿠버네티스 버전 : 1.18.8
Kubeadm : v1.18.8
운영체제 : Ubuntu 18.04
답변1
- 또는 /etc/kubernetes/manifests/에서 매니페스트 파일을 일시적으로 제거하고 20초 동안 기다리는 대신에 설명된 대로 Docker를 다시 시작해 볼 수 있습니다.링크, 유사한 해결 방법을 찾았습니다.여기.
-
루트 CA 인증서 업데이트가 진행 중이면 kubernetes 구성 요소(apiserver, Scheduler, Controller-manager, kubelet) 및 애플리케이션 Pod가 다시 시작됩니다. 업데이트는 롤링 업데이트이므로 시스템은 평소대로 작동하지만 업데이트 중에 성능에 약간의 영향을 미칩니다. 사용자는 영향을 최소화할 수 있도록 호스트를 순차적으로 업데이트해야 합니다.https://docs.starlingx.io/specs/specs/stx-6.0/approved/security-2008675-kubernetes-rootca-update.html
- 에 따라이 문제그런 방법은 없을 것 같습니다.