<p>kubeadm अल्फ़ा फ़ेज़ सेर्ट्स रिन्यू सभी को KubeConfig फ़ाइल्स में सेर्ट्स भी अपडेट करने चाहिए</p>

@ माललूप
बेशक, लेकिन कृपया ध्यान दें कि शामिल होने के चरण एक उच्च प्राथमिकता है।

सुनने में तो अच्छा लगता है! बहुत बहुत धन्यवाद।

नमस्ते,

इस विषय में एक और बात है।

kubeadm alpha phase kubeconfig all यह संदेश दिखाता है कि क्या कमांड जारी करते समय गोपनीय फाइलें हैं:

[kubeconfig] Using existing up-to-date KubeConfig file: "/etc/kubernetes/admin.conf"
[kubeconfig] Using existing up-to-date KubeConfig file: "/etc/kubernetes/kubelet.conf"
[kubeconfig] Using existing up-to-date KubeConfig file: "/etc/kubernetes/controller-manager.conf"
[kubeconfig] Using existing up-to-date KubeConfig file: "/etc/kubernetes/scheduler.conf"

यह जाँच नहीं करता है कि क्या सीरियल्स की समय सीमा समाप्त हो गई है, इसलिए मेरी राय में up-to-date मिसलीडिंग है।

अद्यतित सेर्ट्स को फ़ाइलों में प्राप्त करने के लिए एक MUST फाइल को ऊपर की ओर हटाना चाहिए, जैसे कि लॉग दिखता है:

[kubeconfig] Wrote KubeConfig file to disk: "/etc/kubernetes/admin.conf"
[kubeconfig] Wrote KubeConfig file to disk: "/etc/kubernetes/kubelet.conf"
[kubeconfig] Wrote KubeConfig file to disk: "/etc/kubernetes/controller-manager.conf"
[kubeconfig] Wrote KubeConfig file to disk: "/etc/kubernetes/scheduler.conf"   

मेरे मामले में हालांकि मैं ठीक हूं, लेकिन कुछ दिनों बाद स्टैटिक पॉड्स पुराने प्रमाणपत्रों के कारण संवाद नहीं कर सके।

सादर
एंड्रियास

@MalloZup को सौंपा गया

@ माललूप :

ध्यान दें कि केवल कुबेरनेट सदस्यों और रेपो सहयोगियों को सौंपा जा सकता है और यह कि मुद्दे / 10 असाइन किए जा सकते हैं।
अधिक जानकारी के लिए कृपया योगदानकर्ता मार्गदर्शिका देखें

जारी करने के लिए hi @adoerler thx भ्रामक जानकारी के बारे में मैंने एक पीआर https://github.com/kubernetes/kubernetes/pull/73798 भेजा है

एक बार मेरे पास बाकी मुद्दे पर मेरी नज़र होगी। मुद्दे के समय और सटीकता के लिए Thx

@adoerler मैंने आपके सुझाव के लिए एक DOC जनसंपर्क भेजा है। बेझिझक एक नज़र टिया: रॉकेट:
(https://github.com/kubernetes/website/pull/12579)

हाय @ माललूप ,

पीआर के लिए धन्यवाद!

मुझे kubeconfig फ़ाइलों के बारे में एक वाक्य याद आ रहा है, क्योंकि certs renew का केवल एक हिस्सा है।
कुछ इस तरह:

के बाद नए सिरे से बनाया गया है, kubeadm alpha phase kubeconfig ... का उपयोग करके KubeConfig फ़ाइलों को फिर से बनाना मत भूलना

धन्यवाद। मैंने डॉक्टर को नहीं जोड़ा क्योंकि मैं सोच रहा था कि वास्तव में हम इसके अलावा kubeconfig फ़ाइलों को नवीनीकृत कर सकते हैं। बाकी पॉड्स को फिर से शुरू करते हुए हम उपयोगकर्ता को सौंप सकते हैं और न्यूनतम डॉक लिख सकते हैं। @fabriziopandini @lubomir @ereslibre क्या मैं इस कार्यान्वयन पर कुछ याद कर रहा हूं? तिया

@ मैलोज़ुप मुझे इस बात की गहरी जानकारी नहीं है कि नवीकरण कैसे काम करता है।

व्यक्तिगत रूप से, मैं कार्रवाई करने से पहले समग्र इतिहास को थोड़ा स्पष्ट करना चाहूंगा - इसमें ऊपर प्रस्तावित क्या शामिल है -

• क्या kubeadm alpha phase certs renew द्वारा प्रबंधित किया जाना चाहिए
• क्या kubeadm upgrade दौरान स्वचालित रूप से प्रबंधित किया जाना चाहिए
• क्या प्रलेखित किया जाना चाहिए (और उपयोगकर्ताओं द्वारा प्रबंधित)
• यह हा क्लस्टर पर कैसे लागू होता है
• यह क्लस्टर वेरिएंट द्वारा कैसे प्रभावित किया जाता है (जैसे बाहरी बाहरी, बाहरी सीए)
• आदि।

लेकिन मैं इस क्षेत्र में मुझसे अधिक कुशल लोगों के लिए अंतिम शब्द छोड़ता हूं

मुझे लगता है कि हमें एक बैठक पर समय आरक्षित करना चाहिए ताकि हमारे अनुशंसित सीट्स नवीकरण नीति पर चर्चा हो। पृष्ठ प्रबंधन के बारे में कुछ अतिरिक्त विवरण की आवश्यकता हो सकती है:
https://kubernetes.io/docs/tasks/administer-cluster/kubeadm/kubeadm-certs

और हमें कम से कम शुरुआत के रूप में सिंगल कंट्रोल प्लेन क्लस्टर्स के लिए एक छोटी गाइड लिखने की जरूरत है।

उपयोगकर्ता जो कर रहे हैं वह अपने दम पर चीजों का पता लगा रहा है:
https://github.com/kubernetes/kubeadm/issues/581#issuecomment -424277779
^ यह टिप्पणी और ऊपर एक उपयोगकर्ता द्वारा बनाए गए गाइड हैं।

यह एक संकेत है कि हमें एक आधिकारिक मार्गदर्शिका जोड़ने की आवश्यकता है।
सीसी @timothysc @liztio

/ असाइन करें @ereslibre

सैकड़ों उपयोगकर्ताओं के साथ हमारा क्लस्टर इस समय अटका हुआ है। क्या मेरे पास बहुत जल्दी गाइड हो सकता है कि एक्सपायर सर्टिफिकेट के साथ क्या करना है?

@ मंद ०

उपयोगकर्ता जो कर रहे हैं वह अपने दम पर चीजों का पता लगा रहा है:
# 581 (टिप्पणी)
^ यह टिप्पणी और ऊपर एक उपयोगकर्ता द्वारा बनाए गए गाइड हैं।

ये एकमात्र मार्गदर्शक हैं जो हमारे पास ए.टी.एम.

[root<strong i="5">@controller0</strong> ~]# kubeadm alpha phase certs apiserver --apiserver-advertise-address 1.2.3.4
Error: unknown flag: --apiserver-advertise-address
Usage:

Flags:
  -h, --help   help for phase

Global Flags:
      --log-file string   If non-empty, use this log file
      --rootfs string     [EXPERIMENTAL] The path to the 'real' host root filesystem.
      --skip-headers      If true, avoid header prefixes in the log messages
  -v, --v Level           log level for V logs

error: unknown flag: --apiserver-advertise-address
[root<strong i="6">@controller0</strong> ~]# kubeadm alpha phase certs apiserver
This command is not meant to be run on its own. See list of available subcommands.

1.13 init चरणों में पैरेंट init कमांड में स्नातक की उपाधि प्राप्त की है:
https://kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm-init-phase/#cmd -phase-certs

1.12 में झंडा होना चाहिए:
https://v1-12.docs.kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm-alpha/#cmd -phase-certs

1.11 जल्द ही समर्थन से बाहर हो रहा है।

जीवनचक्र / सक्रिय लेबल को हटा रहा है।
1.15 पर जा रहा है।

संभावित डॉक्स यहां विचारों को अपडेट करते हैं:
https://github.com/kubernetes/kubeadm/issues/1361#issuecomment -466192631

@ neolit123
प्रश्न: १.१४ में मास्टर हा के साथ, क्या यह एकल गुरु पर https://github.com/kubernetes/kubeadm/issues/581#issuecomment -421477139 का पालन करने के लिए पर्याप्त है, या हमें माध्यमिक स्वामी को फिर से क्रम में लाना होगा। सेरेटस को रिफ्रेश करें?

द्वितीयक नियंत्रण विमान नोड्स के साथ जुड़कर, 1,14 में एक त्वरित और व्यवहार्य विकल्प की तरह लगता है।
हमारे पास हा प्रमाणपत्र रोटेशन के संदर्भ में अभी तक कोई डॉक्स नहीं है।
(उल्लेख नहीं है कि हम अभी तक https://github.com/kubernetes/kubeadm/issues/581#issuecomment-421477139 ने उचित कदम नहीं जोड़े हैं)।

क्या --experimental-upload-certs हा में प्रमाणपत्र रोटेशन के आसान समाधान के लिए आधार प्रदान नहीं करता है?

हा प्रमाणित रोटेशन करने का एक तरीका है:

• एकल कंट्रोल-प्लेन नोड पर, ऊपर दिए गए चरणों का पालन करके इसे अपडेट करना है
• उसी CP नोड कॉल पर:

kubeadm init phase upload-certs --experimental-upload-certs

सीरट्स की स्टोर करें।

kubeadm token create --print-join-command

टोकन के साथ ज्वाइन कमांड स्टोर करें।

टोकन और सीट्स कुंजी का उपयोग करके नियंत्रण विमान नोड्स के बाकी हिस्सों को फिर से जोड़कर, --certs-key .... --experimental-control-plane-join का उपयोग करके एक

श्रमिकों के लिए: नाली, नए टोकन का उपयोग करके फिर से, एक करके, एक-एक करके।

वैकल्पिक रूप से परिणामी टोकन हटाएं।

@ neolit123
3 मास्टर्स क्लस्टर्स में, हम जिस पल को "प्राथमिक" मास्टर पर बदलते हैं, वगैरह काम करना बंद कर देगा, क्योंकि सेर बदल दिए जाते हैं (और कोरम 51 मिनट होना चाहिए)? यदि हां, तो हो सकता है कि हमें किसी तरह 2 माध्यमिक मास्टरों की घेराबंदी करनी पड़े और उसके बाद ही बदलाव करना होगा? क्या "कॉर्डन मास्टर" संभव है?

मैं यहां विशेषज्ञ नहीं हूं, लेकिन मुझे नहीं लगता कि इस तस्वीर में स्वचालित प्रमाणपत्र की प्रति मिलनी चाहिए

स्वचालित प्रतिलिपि प्रमाणपत्र CA, फ्रंट-प्रॉक्सी-CA, etcd-CA (10 वर्ष TTL के साथ) और SA कुंजी (TTL के बिना) को संभालता है

सर्टिफिकेट रिन्यू कमांड कमांड अन्य सभी प्रमाणपत्रों (1 वर्ष टीटीएल के साथ) को स्पर्श करता है, जो कि परास्नातक के अलग-अलग होते हैं।
AFAIK, वर्तमान में ऐसा कुछ भी नहीं है जो kubeconfig फ़ाइलों के लिए प्रमाणपत्र नवीनीकरण को संभालता है

ठीक है, मैंने विचार नहीं किया कि "सेर्ट्स कॉपी" वास्तव में यहां क्या करता है।
हमें किसी भी तरह से उचित सर्टिफिकेट रोटेट डॉक्स लिखना होगा।

/ असाइन करें
/ जीवनचक्र सक्रिय

मैं इस मुद्दे पर काम करना शुरू कर रहा हूं।
संबोधित करने के लिए अलग-अलग बिंदु हैं (_updated 14 मई 2019_)

• यहां तक ​​कि सर्टिफिकेट रोटेशन सक्षम होने के साथ, kublet.conf आउटडेटेड सेर्ट्स (पहले से ही https://github.com/kubernetes/kubeadm/issues/1317 द्वारा ट्रैक किए गए) को इंगित करता है
• सर्टिफिकेट रोटेशन में एप्साइवर / etcd / फ्रंट-प्रॉक्सी-क्लाइंट सेरेस (https://github.com/kubernetes/kubernetes/pull/76862 द्वारा निर्धारित) अपडेट नहीं होता है
• कमांड kubeadm अल्फ़ा फ़ेज़ सेर्ट्स रिन्यू सभी को अपडेट नहीं करता है KubeConfig फाइलें (https://github.com/kubernetes/kubernetes/pull/77180 द्वारा तय)
• सेरेक्ट रिन्यू के बारे में दस्तावेज़ीकरण (अधिक विवरण के बारे में कि कमांड कहाँ से चलना चाहिए, कब, कबकोनफिग, हा)

और मैं उन सभी को अलग-अलग पीआरओं में निपटाऊंगा

@ neolit123 @fabriziopandini
क्या आपने CA प्रमाणपत्र को घुमाने के लिए भी उल्लेख किया है? क्या इसे भी प्रलेखित किया जा सकता है? सीए के लिए एक सहित निजी कुंजी को घुमाने के बारे में क्या?

@ CA प्रमाणपत्र के https://github.com/kubernetes/kubeadm/issues/1350
यह मुद्दा केवल हस्ताक्षर किए गए सीट्स पर केंद्रित है

@fabriziopandini मैं आज इस टिकट को बंद करने के लिए देख रहा था क्योंकि आप

यहां तक ​​कि सर्टिफिकेट रोटेशन सक्षम होने के साथ, kublet.conf पुराने सेरिट्स को इंगित करता है (पहले से ही # 1317 द्वारा ट्रैक किया गया)

हाँ, इसे एक अलग मुद्दे में ट्रैक किया गया है, संभवतः हमें किन वर्कआर्डर्स को प्रदान करना चाहिए, इसके संदर्भ में चर्चा / डॉक्स की आवश्यकता है।

सर्टिफिकेट रोटेशन में एपर्वर / etcd / फ्रंट-प्रॉक्सी-क्लाइंट सेर्ट्स (kubernetes / kubernetes # 76862 द्वारा तय) अपडेट नहीं होता है

कमांड kubeadm अल्फा चरण के सिरे सभी को अपडेट करते हैं KubeConfig फाइलें (kubernetes / kubernetes # 77180 द्वारा तय)

सेरेक्ट रिन्यू के बारे में दस्तावेज़ीकरण (अधिक विवरण के बारे में कि कमांड कहाँ से चलना चाहिए, कब, कबकोनफिग, हा)

ऊपर 3 किया जाना चाहिए।

/बंद करे
अधिकांश कार्य के ऊपर टिप्पणी के अनुसार पहले ही पूरा हो चुका है; गुम बिट को एक अलग / समर्पित मुद्दे में ट्रैक किया जाता है

@fabriziopandini : इस मुद्दे को बंद करना।

क्या कोई मुझे समझा सकता है कि "सर्टिफिकेट रोटेशन के साथ भी, क्यूबलेट.कॉन्फ़ पॉइंटेड आउटडेटेड सीट्स को कैसे" पार्ट को संबोधित किया गया था? एकमात्र मुद्दा जो जुड़ा हुआ है, वह स्पष्ट रूप से एक अन्य मुद्दों के पक्ष में बंद है, जो "मुझे यकीन नहीं है कि अगर यह एक मुद्दा है तो एक नया टिकट खोलें"।
मैं 1.16 पर हूँ, kubelet.conf साथ sudo kubeadm alpha certs renew all kubelet.conf पर कोई नवीनीकरण नहीं हो रहा है। क्या याद आ रही है? @ neolit123

बहुत लंबी चर्चा का एक त्वरित पुनर्कथन।

1. प्रमाणपत्र सभी सर्टिफिकेट के लिए लेकिन क्यूबलेट.कॉन्फ को अब कुबेदम अल्फा सर्टिफिकेट रिन्यू द्वारा प्रबंधित किया जाता है।
2. kubelet.conf के लिए प्रमाणपत्र रोटेशन को क्यूबलेट द्वारा ही प्रबंधित किया जाएगा (जब तक कि उपयोगकर्ता स्वचालित प्रमाणपत्र रोटेशन से बाहर नहीं निकलता)

यह दूसरा बिंदु जो पहले से ही आज तक के सभी नोड्स के लिए काम करता है, सिवाय उस एक को छोड़कर जहाँ आप कुबेदित इनिट चलाते हैं; https://github.com/kubernetes/kubernetes/pull/84118 जो ठीक करने जा रहा है

@fabriziopandini इसके लिए धन्यवाद, यह समझ में आता है।

किसी और के लिए kubelte.conf में सेर्ट्स के मुद्दे का सामना करना पड़ रहा है अब और जब दोनों के बीच की तारीख तय हो रही है तो मुझे यह लेख मददगार लगा:

https://kubernetes.io/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/#check -certificate- समाप्ति

Kubeadm संस्करण 1.17 से पहले, kubeadm init के साथ निर्मित नोड्स पर, एक बग है जहां आपको मैन्युअल रूप से kubelet.conf की सामग्री को संशोधित करना होगा। Kubeadm init खत्म होने के बाद, आपको क्लाइंट-सर्टिफिकेट-डेटा और क्लाइंट-की-डेटा को बदलकर, घुमाए गए क्यूबलेट क्लाइंट प्रमाणपत्रों को इंगित करने के लिए kubelet.conf अपडेट करना चाहिए:

client-certificate: /var/lib/kubelet/pki/kubelet-client-current.pem
client-key: /var/lib/kubelet/pki/kubelet-client-current.pem

@AndrewSav इसके लिए धन्यवाद। मैंने क्लस्टर की निगरानी के लिए प्रोमिथेस ऑपरेटर का उपयोग किया है। मुझे हाल ही में एक चेतावनी मिली "कुबेरनेट्स एपीआई प्रमाणपत्र 7 दिनों से कम समय में समाप्त हो रहा है", मुझे लगता है कि यह इस मुद्दे से संबंधित है। मैंने मास्टर नोड्स पर kubelet.conf की सामग्री को अपडेट किया है। लेकिन मुझे अभी भी अलर्ट है। क्या तुम्हारे पास कोई सुझाव है? टक्स।

@tannh यदि आपने कुबड़ेम के साथ क्लस्टर स्थापित किया है, तो कोर्ट्स एक्सरसाइज की जांच के लिए कुबेदम का उपयोग करें। अन्यथा आपका मुद्दा शायद संबंधित नहीं है।

Kubeadm संस्करण 1.17 से पहले, kubeadm init के साथ निर्मित नोड्स पर, एक बग है जहां आपको मैन्युअल रूप से kubelet.conf की सामग्री को संशोधित करना होगा। Kubeadm init खत्म होने के बाद, आपको क्लाइंट-सर्टिफिकेट-डेटा और क्लाइंट-की-डेटा को बदलकर, घुमाए गए क्यूबलेट क्लाइंट प्रमाणपत्रों को इंगित करने के लिए kubelet.conf अपडेट करना चाहिए:

यह 1.17 के रिलीज नोटों में भी होगा।

@adoerler मैं अभी भी

मैंने "kubeadm अल्फ़ा सीट्स को सभी को नवीनीकृत किया", जिसने नए प्रमाणपत्र बनाए, फिर मुझे सभी को संपादित करने की आवश्यकता है। वास्तव में उन्हें कहाँ इशारा करना चाहिए?
और मल्टी मास्टर नोड्स के मामले में, क्या मुझे सभी मास्टर्स में कमांड चलाना चाहिए?

हाय @ सुलेमानवा ,

मैं आपको यह नहीं बता सकता कि मल्टी मास्टर एनवी पर क्या करना है, मेरे सेटअप में केवल एक ही मास्टर है।

यही मैंने किया है:

सबसे पहले, मौजूदा गोपनीय फ़ाइलों को रास्ते से हटना सुनिश्चित करें, क्योंकि मौजूदा फ़ाइलों को ओवरराइट नहीं किया जाएगा!

mv /etc/kubernetes/admin.conf /backup
mv /etc/kubernetes/kubelet.conf /backup
mv /etc/kubernetes/controller-manager.conf /backup
mv /etc/kubernetes/scheduler.conf /backup

फिर इन फ़ाइलों को अपडेट करें:

user<strong i="13">@master</strong>:~$ sudo kubeadm alpha phase kubeconfig all --apiserver-advertise-address=<INSERT-YOUR-APISERVER-IP-HERE>
I0124 21:56:14.253641   15040 version.go:236] remote version is much newer: v1.13.2; falling back to: stable-1.12
[kubeconfig] Wrote KubeConfig file to disk: "/etc/kubernetes/admin.conf"
[kubeconfig] Wrote KubeConfig file to disk: "/etc/kubernetes/kubelet.conf"
[kubeconfig] Wrote KubeConfig file to disk: "/etc/kubernetes/controller-manager.conf"
[kubeconfig] Wrote KubeConfig file to disk: "/etc/kubernetes/scheduler.conf"    

स्टेटिक सिस्टम पॉड्स में नया सर्टिफिकेट लगाने के लिए मेरे लिए सबसे आसान तरीका मास्टर सर्वर को रीबूट करना था।

अपने स्थानीय .kube/config client-certificate-data और client-key-data /etc/kubernetes/admin.conf से कॉपी करना न भूलें।

उम्मीद है की यह मदद करेगा

एंड्रियास

कोई भी विचार 1.14.10 पर इस कमांड को कैसे चलाना है? मुझे बस यही मिलेगा:

kubeadm alpha phase kubeconfig all --apiserver-advertise-address=192.168.102.170 Error: unknown flag: --apiserver-advertise-address

फिर डॉक्स कहते हैं:
kubeadm alpha phase kubeconfig all
और मुझे मिलता है:
This command is not meant to be run on its own. See list of available subcommands.

धन्यवाद

हाय @provgregoryabdo ,

आपका kubeadm version आउटपुट क्या है?

बीआर एंड्रियास

@provgregoryabdo phase आदेश अल्फ़ा और बाद के संस्करणों में छोड़ दिए गए ताकि आप इस तरह उपयोग कर सकें

kubeadm init phase kubeconfig all --apiserver-advertise-address=<your_address>

@adoerler मदद के लिए धन्यवाद!