Обновить Сертификаты apiserver для кластера HA k8s
У меня есть кластер HA k8s, созданный kubeadm. Я хочу обновить сертификат сервера API, чтобы добавить дополнительные сети SAN. Для этого я выполнил несколько шагов, описанных в другом сообщении , но то, что я сделал для кластера HA:
Удалены сертификаты сервера API на всех узлах плоскости управления
Получена текущая конфигурационная карта kubeadm
kubectl получить карту конфигурации kubeadm-config \ --namespace kube-system \ --output jsonpath = {{.data.ClusterConfiguration}}
- Дополнен необходимой частью конфигурации
apiServer: certSAN: - localhost - 127.0.0.1
- Созданы новые сертификаты с обновленной конфигурацией на всех узлах плоскости управления
kubeadm init phase certs apiserver --config
Перезапущен контейнер сервера API на всех узлах плоскости управления
Обновленная конфигурация в кластере
kubeadm init phase upload-config kubeadm --config
Вопрос в том, верны ли эти шаги или есть другой способ, более простой?
Самый быстрый способ, который я придумал, таков:
# remove current apiserver certificates
sudo rm /etc/kubernetes/pki/apiserver.*
# generate new certificates
sudo kubeadm init phase certs apiserver --apiserver-cert-extra-sans=localhost,127.0.0.1
Помните, что вам нужно запустить его на всех узлах уровня управления.