Kubespray过期后是否支持续订kubernetes组件证书?

时间:2019-12-03 06:59:52

标签: kubernetes ansible certificate kubeadm kubespray

我有一个与“ Kubespray”有关的快速问题

Kubespray的升级角色是否为etcd,kube-apiserver等“ Kubernetes”组件续订所有过期的证书??

谢谢。

1 个答案:

答案 0 :(得分:0)

  

Kubespray支持用于etcd和Kubernetes的旋转证书   组件,但可能需要一些手动步骤。如果有吊舱   需要使用服务令牌并部署在名称空间中   除了kube-system,您将需要手动删除受影响的   旋转证书后的豆荚。这是因为所有服务帐户   令牌取决于用于生成的apiserver令牌   他们。证书轮换时,所有服务帐户令牌都必须是   也旋转。仅在kubernetes-apps / rotate_tokens角色期间   kube系统中的吊舱已销毁并重新创建。所有其他无效   服务帐户令牌会自动清除,但其他容器会自动清除   不会出于对用户的影响而谨慎地删除   部署的豆荚。

https://github.com/kubernetes-sigs/kubespray/blob/master/docs/upgrades.md#upgrade-considerations