监控内部Kubernetes证书

Question

我正在寻找有关如何监控内部Kubernetes证书到期的信息。我以前遇到了一个问题，在这个问题上，证书过期了，我的服务无法再通信，迫使我重新构建集群。

现在，我正在努力确保这种情况不会发生(我有一个自定义集群)，但是无论我搜索什么，都会在Kubernetes上的任何网站上显示外部SSL证书的结果，但这不是我要找的。

我不使用kubeadm，集群是在AWS上使用库普斯构建的。

Answer 1

基于下面列出的资源，我认为最好的解决方案是将kops及其集群更新到最近的版本。它包含新版本的etcd-manager，其版本>= 3.0.20200428管理证书生命周期，并在到期前自动请求新证书。

1. 升级到kOps 1.15.3、1.16.2、1.17.0-beta.2或1.18.0-字母3。这是推荐的方法。升级kOps时遵循常规步骤，并确认基于kops更新集群的输出将更新etcd-manager映像。

kops rolling-update cluster --instance-group-roles=Master --cloudonly

1. 另一种解决方案是覆盖ClusterSpec中的etcd管理器映像。图像将在两个位置设置，每个etcdCluster设置一个(main和events)。

# Set `spec.etcdClusters[*].manager.image` to `kopeio/etcd-manager:3.0.20200428`
kops update cluster # confirm the image is being updated
kops update cluster --yes
kops rolling-update cluster --instance-group-roles=Master --force --cloudonly

资源：

• 文档:etcd-经理证书到期
• kops发行:etcd-经理证书轮换#8959
• kops拉出请求:更新到etcd-经理3.0.20200429 #9016