1.6 KiB

Raw Blame History

强制更新CA和所有证书

WARNNING: 此命令使用需要小心谨慎，确保了解功能背景和可能的结果；执行后，它会重新创建集群CA证书以及由它颁发的所有其他证书；一般适合于集群admin.conf不小心泄露，为了避免集群被非法访问，重新创建CA，从而使已泄漏的admin.conf失效。
如果需要分发受限的kubeconfig，强烈建议使用自定义权限和期限的kubeconfig

使用帮助

确认需要强制更新后，在ansible 控制节点使用如下命令：(xxx 表示需要操作的集群名)

docker exec -it kubeasz ezctl kca-renew xxx
# 或者使用 dk ezctl kca-renew xxx

上述命令执行后，按序进行以下的操作：详见playbooks/96.update-certs.yml

重新生成CA证书，以及各种kubeconfig
签发新etcd证书，并使用新证书重启etcd服务
签发新kube-apiserver 证书，并重启kube-apiserver/kube-controller-manager/kube-scheduler 服务
签发新kubelet 证书，并重启kubelet/kube-proxy 服务
重启网络组件pod
重启其他集群组件pod
特别注意： 如果集群中运行的业务负载pod需要访问apiserver，需要重启这些pod

检查验证

更新完毕，注意检查集群组件日志和容器pod日志，确认集群处于正常状态

集群组件日志：使用journalctl -u xxxx.service -f 依次检查 etcd.service/kube-apiserver.service/kube-controller-manager.service/kube-scheduler.service/kubelet.service/kube-proxy.service
容器pod日志：使用 kubectl logs 方式检查容器日志