การต่ออายุใบรับรองด้วยตนเองของ Kubernetes - การอัปเดต apiserver ceritificate ล้มเหลว

เรามีคลัสเตอร์ k8 แบบโลหะเปลือยที่ปรับใช้โดยใช้ คูบีสเปรย์ใบรับรองกำลังจะหมดอายุเร็วๆ นี้

opensl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' ไม่ใช่ '

หากต้องการอัปเดตใบรับรอง ให้ทำตามคำแนะนำใน คู่มืออย่างเป็นทางการ.

ใบรับรอง kubeadm ต่ออายุทั้งหมด

จากนั้นลบไฟล์รายการใน /etc/kubernetes/รายการ/ ทีละคน แต่ เซิร์ฟเวอร์ API ไม่รีสตาร์ทหลังจากย้ายรายการกลับไปที่ /etc/kubernetes/รายการต้องรีสตาร์ทโหนดด้วยตนเอง

ที่นี่แนะนำให้รีสตาร์ท docker container

คำถามของฉันคือ:

1. วิธีใดที่ปลอดภัยที่สุดในการอัปเดตใบรับรอง (รีสตาร์ทโหนดหรือรีสตาร์ทนักเทียบท่า)
2. ผลกระทบต่อประสิทธิภาพระหว่างกระบวนการอัปเดตใบรับรองนี้เป็นอย่างไร
3. มีวิธีกำหนดอายุใบรับรองในการติดตั้ง kubespray หรือไม่

Kubernetes เวอร์ชัน : 1.18.8
Kubeadm : v1.18.8
ระบบปฏิบัติการ: อูบุนตู 18.04

1. อีกทางเลือกหนึ่งจากการลบไฟล์รายการชั่วคราวจาก /etc/kubernetes/manifests/ และรอ 20 วินาที คุณสามารถลองรีสตาร์ทนักเทียบท่าตามที่อธิบายไว้ใน ลิงค์ฉันพบวิธีแก้ปัญหาที่คล้ายกันแล้ว ที่นี่.

2. เมื่อการอัปเดตใบรับรอง CA รูทอยู่ระหว่างดำเนินการ คอมโพเนนต์ kubernetes (apiserver, scheduler, controller-manager, kubelet) และพ็อดแอปพลิเคชันจะเริ่มต้นใหม่เนื่องจากการอัปเดตเป็นการอัปเดตแบบต่อเนื่อง ระบบจะทำงานตามปกติ แต่จะมีผลกระทบต่อประสิทธิภาพเล็กน้อยระหว่างการอัปเดต ผู้ใช้ควรอัปเดตโฮสต์ตามลำดับเพื่อลดผลกระทบ https://docs.starlingx.io/specs/specs/stx-6.0/approved/security-2008675-kubernetes-rootca-update.html

3. ตาม ปัญหานี้ ดูเหมือนว่าจะไม่มีวิธีดังกล่าว