我有关于“Kubespray”的快速问题
Kubespray 的升级角色是否会为 etcd、kube-apiserver 等“Kubernetes”组件更新所有过期的证书?
提前致谢。
问问题
3477 次
1 回答
1
Kubespray 支持用于 etcd 和 Kubernetes 组件的轮换证书,但可能需要一些手动步骤。如果您有一个需要使用服务令牌的 pod,并且部署在 kube-system 以外的命名空间中,则需要在轮换证书后手动删除受影响的 pod。这是因为所有服务帐户令牌都依赖于用于生成它们的 apiserver 令牌。当证书轮换时,所有服务帐户令牌也必须轮换。在 kubernetes-apps/rotate_tokens 角色期间,只有 kube-system 中的 pod 被销毁和重新创建。所有其他无效的服务帐户令牌都会自动清理,但出于对用户部署的 pod 的影响的谨慎考虑,不会删除其他 pod。
https://github.com/kubernetes-sigs/kubespray/blob/master/docs/upgrades.md#upgrade-considerations
于 2019-12-03T07:27:01.170 回答