Temos um cluster bare metal k8 implantado usandoKubespray, seus certificados expirarão em breve.
openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not '
Para atualizar certificados, siga as instruções fornecidas emguia oficial.
kubeadm certs renew all
Em seguida, removi os arquivos de manifesto /etc/kubernetes/manifests/um por um, mas api-servernão reiniciei após mover seu manifesto de volta para /etc/kubernetes/manifests, tive que reiniciar manualmente o nó.
Aqui, sugira reiniciar o contêiner do docker.
Minhas perguntas são:
- Qual é a maneira mais segura de atualizar certificados (reinicialização do nó ou reinicialização do docker).
- Como é o impacto no desempenho durante este processo de atualização de certificado?
- Existe uma maneira de definir o tempo de vida do certificado na instalação do Kubespray?
Versão do Kubernetes: 1.18.8
Kubeadm: v1.18.8
SO: Ubuntu 18.04
Responder1
- Alternativamente, removendo temporariamente seus arquivos de manifesto de /etc/kubernetes/manifests/ e aguardando 20 segundos, você pode tentar reiniciar o docker conforme descrito em seulink, encontrei uma solução semelhanteaqui.
-
Quando uma atualização do certificado CA raiz estiver em andamento, os componentes do kubernetes (apiserver, agendador, gerenciador de controlador, kubelet) e pods de aplicativos serão reiniciados. Como a atualização é contínua, o sistema funcionará normalmente, mas haverá um pequeno impacto no desempenho durante a atualização. O usuário deve atualizar o host sequencialmente para que o impacto possa ser minimizado.https://docs.starlingx.io/specs/specs/stx-6.0/approved/security-2008675-kubernetes-rootca-update.html
- Conformeesse assuntoparece que não existe tal maneira.