PK
до 1.11 такая магия была только в кубспрее, остальные как умели делали - типа серты на 10 лет
Я не уверен, что это правильно генерить сертификаты на 10 лет
Size: a a a
2019 September 28
PK
Я бы про летсенкрипт подумал.
TS
Не. Там жеж для авторизации. Нахер там летсэнкрипт то.
PK
Так какая разница. Секреты нужно перевыпускать, а акме нормально перевыпускает
MF
а ты как этой акме объяснишь, что у тебя там десяток приватных адресов в SAN'е и ещё имена вида
cluster.local? :DMF
kube01:~# openssl x509 -in /etc/kubernetes/ssl/apiserver.pem -noout -text|grep DNS
DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.local, DNS:kubernetes.default.svc.kubernetes.local, DNS:kube01, DNS:kube02, IP Address:127.0.0.1, IP Address:10.222.0.1, ...
MF
там ещё много, я подрезал половину
AM
сгенерил руками, да и улюлю
есть эта волшебная команда?)
MF
я делаю cfssl'ем
MF
сперва делаешь csr-json вида:
MF
{
"key": {
"algo": "rsa",
"size": 2048
},
"profile": "kubernetes",
"hosts": [
"127.0.0.1",
"10.222.0.1",
"kubernetes",
...
],
"CN": "kubernetes",
"names": [
{
"C": "RU",
"L": "Moscow",
"ST": "Moscow",
"O": "Kubernetes",
"OU": "Cluster"
}
]
}MF
а потом по нему цфсслем
MF
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -profile=kubernetes csr.json
AS
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -profile=kubernetes csr.json
спасибо. надо будет заюзать этот cfssl я чего то про него не знал и фигарил всегда руками или openssl ем всё
2019 September 29
Е
есть эта волшебная команда?)
В кубадме для мастеровых сервисов есть команда обновления сертов, а кубелет там получает новые серты автоматом, емнип. Можешь проверить в /var/lib/kubelet
A
AE
кубелеты рыдают
Не должны. Кублет умеет сам по себе жить, по идее, без kube-apiserver
N
MF
Не должны. Кублет умеет сам по себе жить, по идее, без kube-apiserver
Так они и живут, просто логи забиты рыданиями о том, что аписервера нет