Назад | Перейти на главную страницу

Обновление сертификатов apiserver для кластера HA k8s

У меня есть кластер HA k8s, созданный kubeadm. Я хочу обновить сертификат сервера API, чтобы добавить дополнительные сети SAN. Для этого я выполнил несколько шагов, описанных в другом Почта, но то, что я сделал для кластера высокой доступности:

kubectl get configmap kubeadm-config \
  --namespace kube-system \
  --output jsonpath={{ .data.ClusterConfiguration }}
apiServer:
  certSANs:
    - localhost
    - 127.0.0.1

kubeadm init phase certs apiserver --config <config_path>

kubeadm init phase upload-config kubeadm --config <config_path>

Вопрос в том, верны ли эти шаги или есть другой способ более простой?

Самый быстрый способ, который я придумал, - это:

# remove current apiserver certificates
sudo rm /etc/kubernetes/pki/apiserver.*

# generate new certificates
sudo kubeadm init phase certs apiserver --apiserver-cert-extra-sans=localhost,127.0.0.1

Помните, что вам нужно запустить его на всех узлах простого управления.