У нас есть кластер k8 на чистом железе, развернутый с использованиемКубеспрей, срок действия его сертификатов скоро истекает.
openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not '
Для обновления сертификатов следуйте инструкциям, данным вофициальное руководство.
kubeadm certs renew all
Затем удалил файлы манифеста /etc/kubernetes/manifests/по одному, но api-serverне перезапустился после перемещения манифеста обратно в /etc/kubernetes/manifests, пришлось вручную перезапустить узел.
Здесь, предлагаем перезапустить Docker-контейнер.
У меня есть вопросы:
- Какой наиболее безопасный способ обновления сертификатов (перезапуск узла или перезапуск Docker)?
- Как влияет процесс обновления сертификата на производительность?
- Есть ли способ определить срок действия сертификата при установке kubespray?
Версия Kubernetes: 1.18.8
Kubeadm: v1.18.8
ОС: Ubuntu 18.04
решение1
- В качестве альтернативы временному удалению файлов манифеста из /etc/kubernetes/manifests/ и ожиданию в течение 20 секунд вы можете попробовать перезапустить Docker, как описано в вашемсвязь, я нашел похожее решениездесь.
-
Когда происходит обновление корневого сертификата CA, компоненты kubernetes (apiserver, scheduler, controller-manager, kubelet) и модули приложений будут перезапущены. Поскольку обновление является скользящим, система будет работать как обычно, но во время обновления будет небольшое влияние на производительность. Пользователь должен обновлять хост последовательно, чтобы влияние можно было свести к минимуму.https://docs.starlingx.io/specs/specs/stx-6.0/approved/security-2008675-kubernetes-rootca-update.html
- СогласноЭта проблемапохоже, такого способа нет.