我们希望能够随时重新部署我们的Kubernetes集群,以在万事俱备时采取紧急措施,或者作为升级到新Kubernetes版本的简便方法。我们从头开始;特别是/ etc / kubernetes被清除掉了。但这迫使我们随后分发新的用户证书。但是,当前的应该保持有效。
我们该怎么做?将一些文件存储在/ etc / kubernetes中(肯定不是全部),然后将它们复制回集群吗?如果是这样,哪些文件?并在kubeadm init调用之前或之后将其复制回去?还是将与证书相关的参数之一用于kubeadm更好?
您可以将所有证书保留在默认目录/etc/kubernetes/pki之外的目录中。您可以在运行kubeadm init之前执行此操作。现在,在运行kubeadm init时,请通过--cert-dir标志或kubeadm的ClusterConfiguration的certificateDir字段指定该目录。
另一种选择是通过在--skip-phases=certs,kubeconfig中指定kubeadm init来跳过证书和配置的生成。
某些时候证书将过期,然后您可以更新它们kubeadm alpha certs renew
https://kubernetes.io/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/