У меня есть кластер HA k8s, созданный kubeadm. Я хочу обновить сертификат сервера API, чтобы добавить дополнительные сети SAN. Для этого я выполнил несколько шагов, описанных в другом Почта, но то, что я сделал для кластера высокой доступности:
Удалены сертификаты сервера API на всех узлах уровня управления
Получена текущая конфигурационная карта kubeadm
kubectl get configmap kubeadm-config \ --namespace kube-system \ --output jsonpath={{ .data.ClusterConfiguration }}
apiServer: certSANs: - localhost - 127.0.0.1
kubeadm init phase certs apiserver --config <config_path>
Перезапущенный контейнер сервера API на всех узлах уровня управления
Обновленная конфигурация в кластере
kubeadm init phase upload-config kubeadm --config <config_path>
Вопрос в том, верны ли эти шаги или есть другой способ более простой?
Самый быстрый способ, который я придумал, - это:
# remove current apiserver certificates
sudo rm /etc/kubernetes/pki/apiserver.*
# generate new certificates
sudo kubeadm init phase certs apiserver --apiserver-cert-extra-sans=localhost,127.0.0.1
Помните, что вам нужно запустить его на всех узлах простого управления.