在k8s集群规范中的应用

Question

队员们，

我已经有一个集群正在运行，我需要更新OIDC值。有什么方法不需要重新创建集群就可以做到这一点吗？

下面是我的集群信息，我需要更新oidcClientID: spn:

我怎么能做到这一点，因为我有5个大师运行？

kubeAPIServer:
    storageBackend: etcd3
    oidcClientID: spn:45645hhh-f641-498d-b11a-1321231231
    oidcUsernameClaim: upn
    oidcUsernamePrefix: "oidc:"
    oidcGroupsClaim: groups
    oidcGroupsPrefix: "oidc:"

Answer 1

你一个一个地更新你的库比-apiserver(更新/重新启动)。如果您的集群设置正确，当您到达活动的kube-apiserver时，它将自动故障转移到备用状态下的另一个kube-apiserver主服务器。

您可以在/etc/kubernetes/manifests/kube-apiserver.yaml pod清单文件中添加oidc选项。

apiVersion: v1
kind: Pod
metadata:
  annotations:
    scheduler.alpha.kubernetes.io/critical-pod: ""
  creationTimestamp: null
  labels:
    component: kube-apiserver
    tier: control-plane
  name: kube-apiserver
  namespace: kube-system
spec:
  containers:
  - command:
    - kube-apiserver
    - --authorization-mode=Node,RBAC
    - --advertise-address=172.x.x.x
    - --allow-privileged=true
    - --client-ca-file=/etc/kubernetes/pki/ca.crt
    - --oidc-client-id=...
    - --oidc-username-claim=...
    - --oidc-username-prefix=...
    - --oidc-groups-claim=...
    - --oidc-groups-prefix=...
...

然后，如果使用的是docker，则可以重新启动kube-apiserver容器：

$ sudo docker restart <container-id-for-kube-apiserver>

或者，如果要重新启动主服务器上的所有组件，请执行以下操作：

$ sudo systemctl restart docker

注意库贝-阿皮瑟弗集装箱上的日志

$ sudo docker logs -f <container-id-for-kube-apiserver>

为了安全起见，确保您的运行节点永远不会少于您的法定人数 (为了您的5主集群应该是3)。如果由于某种原因，您的etcd群集超出了法定量，则必须通过从备份中重新创建etcd群集和恢复来恢复。