Reînnoirea manuală a certificatului Kubernetes - actualizarea certificatului apiserver a eșuat

Avem un cluster bare-metal k8 implementat folosind Kubespray, certificatele sale expiră în curând.

openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Nu '

Pentru a actualiza certificatele, urmați instrucțiunile din ghid oficial.

Kubeadm certs reînnoiesc toate

Apoi au eliminat fișierele manifest în /etc/kubernetes/manifests/ unul câte unul, dar api-server nu a repornit după ce și-a mutat manifestul înapoi la /etc/kubernetes/manifests, a trebuit să repornească manual nodul.

Aici, sugerați să reporniți containerul docker.

Întrebările mele sunt:

1. Care este cea mai sigură modalitate de a actualiza certificatele (repornire nod sau repornire docker).
2. Cum este impactul performanței în timpul acestui proces de actualizare a certificatului?
3. Există o modalitate de a defini durata de viață a certificatului în instalarea kubespray?

Versiunea Kubernetes: 1.18.8
Kubeadm: v1.18.8
OS: Ubuntu 18.04

1. Alternativ, de la eliminarea temporară a fișierelor manifest din /etc/kubernetes/manifests/ și așteptarea timp de 20 de secunde, puteți încerca să reporniți docker așa cum este descris în legătură, am găsit o soluție similară Aici.

2. Când o actualizare a certificatului CA rădăcină este în desfășurare, componentele kubernetes (apiserver, scheduler, controller-manager, kubelet) și podurile de aplicație vor fi repornite.Deoarece actualizarea este o actualizare continuă, sistemul va funcționa ca de obicei, dar va exista un mic impact asupra performanței în timpul actualizării. Utilizatorul ar trebui să actualizeze gazda secvenţial, astfel încât impactul să poată fi minimizat. https://docs.starlingx.io/specs/specs/stx-6.0/approved/security-2008675-kubernetes-rootca-update.html

3. Conform această problemă se pare că nu există o astfel de cale.