我們部署了一個裸機 k8 集群庫貝噴霧,其證書即將到期。
openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not '
若要更新證書,請按照以下給出的說明進行操作官方指南。
kubeadm certs renew all
然後將manifest檔案/etc/kubernetes/manifests/一一刪除,但api-server將其manifest移回後並沒有重啟/etc/kubernetes/manifests,只好手動重啟節點。
這裡,建議重啟docker容器。
我的問題是:
- 更新憑證最安全的方法是什麼(節點重新啟動或docker重啟)。
- 此證書更新過程對效能有何影響?
- 有沒有辦法在 kubespray 安裝中定義憑證生命週期?
Kubernetes 版本:1.18.8
Kubeadm:v1.18.8
作業系統:Ubuntu 18.04
答案1
- 或者,您可以暫時從 /etc/kubernetes/manifests/ 中刪除其清單檔案並等待 20 秒,您可以嘗試按照中所述重新啟動 docker關聯,我找到了類似的解決方法這裡。
-
當根 CA 憑證更新正在進行時,kubernetes 元件(apiserver、scheduler、controller-manager、kubelet)和應用程式 pod 將重新啟動。由於更新是滾動更新,系統將照常運行,但更新期間會對效能產生較小的影響。使用者應依序更新主機,以便將影響降至最低。https://docs.starlingx.io/specs/specs/stx-6.0/approved/security-2008675-kubernetes-rootca-update.html
- 按照這個問題好像沒有這樣的方法。