LuckySB Sep 6 2019 at 09:50

Что делать, если протухли сертификаты и кластер превратился в тыкву?

5 min

36K

Слёрм corporate blogKubernetes*

+19

Comments 13

ip1981 Sep 6 2019 at 10:16

Я считаю, что даже одноразовые вещи надо делать хорошо — пригодится :)

#!/usr/bin/env bash

showcert() {
 openssl x509 -text -noout
}

[ -f "$1" ] || exit 1

case "$1" in
  *.crt|*.pem)
    showcert < "$1"
    ;;
  *.conf)
    awk '/client-certificate-data:/ { print $2 }' "$1" | base64 -d | showcert
    ;;
esac

maxout Sep 6 2019 at 13:21

в старых кластерах (на 1.9 отлично работает) можно не извращаться с протаскиванием в них нового kubeadm или играми с Openssl:

kubeadm alpha phase certs front-proxy-client
kubeadm alpha phase certs apiserver-kubelet-client
kubeadm alpha phase certs apiserver
kubeadm alpha phase kubeconfig all

LuckySB Sep 6 2019 at 13:37

а он обновит срок сертификата?
Просто в доке написано: If both files already exist, kubeadm skips the generation step and existing files will be used.

maxout Sep 6 2019 at 13:42

нужно будет сначала удалить то, что нужно перегенерить, или в отдельной папке это делать. там, в принципе, всё интуитивно. kubeadm будет ругаться на всё, что ему не нравится, нужно это устранять и запускать заново :)
если нужно восстановить работу кластера здесь и сейчас, то путь через kubeadm займёт буквально пару минут.

slonopotamus Sep 6 2019 at 20:29

Что делать, если протухли сертификаты и кластер превратился в тыкву?

Положить новую мину, чтобы сработала на следующий год.

LuckySB Sep 6 2019 at 23:11

позвольте процитировать документацию. вольный перевод

с версии 1.15 kubeadm научился-таки продлевать все-все сертификаты при обновлении кластера командой kubeadm upgrade

Nengchak Sep 7 2019 at 06:04

Не проще положить сертификат с лайфтаймом на лет 20-25 (за это время либо уволиться можно, либо пойти выше и головняк будет у других)? У меня такие самоподписанные используются.

-3

vsespb Sep 7 2019 at 08:54

Надеюсь с таким подходом вас всё же уволят, а не повысят

emoxam Aug 14 2023 at 10:58

Обоснуйте

LuckySB Sep 7 2019 at 12:28

проще. кубспрей так раньше и делал — генерировал сертификаты на 100 лет.
в Kubeadm 1 год захардкожен — поэтому живем с тем, что есть.

Насколько это влияет на безопасность в случае утечки ключей — вопрос холиварный и к статье отношения не имеет.

riberk Sep 7 2019 at 22:27

Не подскажете, как в этом плане обстоят дела с kops?

LuckySB Sep 7 2019 at 22:27

я с kops дела не имел, так что не знаю. Коллега давно уже с kops работал, уточню у него

bykvaadm Jan 23 2020 at 21:39

Для скачивания kubeadm проще всего сделать так:

export ARCH="amd64"

export VERSION=<insert version, i.e. v1.10.7>



curl -L -o /tmp/kubeadm https://dl.k8s.io/release/${VERSION}/bin/linux/${ARCH}/kubeadm

chmod +x /tmp/kubeadm