Я пытаюсь следовать этому учебник.
- В чем будет преимущество самостоятельной генерации сертификатов, а не зависимости от kubeadm?
- если вы создаете сертификаты самостоятельно, происходит ли автоповорот после настройки кластера из kubeadm?
Спасибо!
Я пытаюсь следовать этому учебник.
Спасибо!
Нет большого преимущества. kubeadm делает то же самое: генерирует самоподписанные сертификаты. Единственное небольшое преимущество заключается в том, что вы можете добавить некоторые пользовательские значения в CSR, например Город , Организация и т. Д.
Не совсем.
--rotate-certificates
that needs to be enabled.Также существует ротация сертификатов от мастеров, и kubeadm
может помочь в этом с этими команды:
mkdir /etc/kubernetes/pkibak
mv /etc/kubernetes/pki/* /etc/kubernetes/pkibak
rm /etc/kubernetes/pki/*
kubeadm init phase certs all --apiserver-advertise-address=0.0.0.0 --apiserver-cert-extra-sans=x.x.x.x,x.x.x.x
systemctl restart docker
Если вы хотите регенерировать admin.conf
файл, вы также можете использовать kubeadm
:
$ kubeadm init phase kubeconfig admin \
--cert-dir /etc/kubernetes/pki \
--kubeconfig-dir /tmp/.
kubeadm alpha phase certs -h
- person Rico; 31.10.2018
/etc/kubernetes/admin.conf
сгенерировал? если да, то вы можете скопировать его в ~/.kube/config
. В противном случае вам придется снова заполнить свои client-certfificate-data
и client-key-data
в своем ~/.kube/config
- person Rico; 01.11.2018
kubeadm alpha phase kubeconfig admin --cert-dir /etc/kubernetes/pki --kubeconfig-dir /tmp/.
- person Rico; 02.11.2018
Я создаю все сертификаты самостоятельно, причина этого в
Кластер kubernetes, который мы используем, может не обновляться каждый год, поэтому нам нужны сертификаты с более длительным сроком действия. Наши приложения не поддерживают случайный перезапуск докера, и мы не принимаем команду фазы kubeadm для регенерации сертификатов и перезапуска докера. Поэтому мы создали все сертификаты со сроком действия 5 лет и предоставили их в kubeadm, и он работает нормально. Теперь нам не нужно беспокоиться об истечении срока действия нашего сертификата каждый год.
Ни один kubeadm не предоставляет возможность автоматической ротации сертификатов, это причина, по которой нам в первую очередь нужен более длительный срок действия сертификатов.
Надеюсь это поможет.