Gia hạn chứng chỉ thủ công Kubernetes - cập nhật chứng chỉ apiserver không thành công

Chúng tôi có một cụm k8 kim loại trần được triển khai bằng cách sử dụng Kubespray, chứng chỉ của nó sắp hết hạn.

openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not '

Để cập nhật chứng chỉ, hãy làm theo hướng dẫn đã cho trong hướng dẫn chính thức.

chứng chỉ kubeadm gia hạn tất cả

Sau đó xóa các tệp kê khai trong /etc/kubernetes/manifests/ từng người một, nhưng máy chủ api đã không khởi động lại sau khi chuyển bảng kê khai của nó trở lại /etc/kubernetes/manifests, phải tự khởi động lại nút.

Đây, đề nghị khởi động lại bộ chứa docker.

Câu hỏi của tôi là:

1. Cách an toàn nhất để cập nhật chứng chỉ (khởi động lại nút hoặc khởi động lại docker) là gì.
2. Tác động hiệu suất trong quá trình cập nhật chứng chỉ này như thế nào?
3. Có cách nào để xác định thời gian tồn tại của chứng chỉ trong quá trình cài đặt kubespray không?

Phiên bản Kubernetes: 1.18.8
Kubeadm : v1.18.8
Hệ điều hành: Ubuntu 18.04

1. Ngoài ra, tạm thời xóa các tệp kê khai của nó khỏi /etc/kubernetes/manifests/ và đợi trong 20 giây, bạn có thể thử khởi động lại docker như được mô tả trong liên kết, tôi đã tìm thấy một cách giải quyết tương tự đây.

2. Khi quá trình cập nhật chứng chỉ CA gốc đang diễn ra, các thành phần kubernetes (apiserver, scheduler, controller-manager, kubelet) và các nhóm ứng dụng sẽ được khởi động lại.Vì bản cập nhật là bản cập nhật cuốn chiếu nên hệ thống sẽ hoạt động như bình thường nhưng sẽ có tác động nhỏ đến hiệu suất trong quá trình cập nhật. Người dùng nên cập nhật máy chủ theo tuần tự để có thể giảm thiểu tác động. https://docs.starlingx.io/specs/specs/stx-6.0/approved/security-2008675-kubernetes-rootca-update.html

3. Theo vấn đề này có vẻ như không có cách nào như vậy.