Я использую kubeadm для создания кластера k8s, и ssl-сертификаты по умолчанию будут использоваться через 1 год. Я планирую использовать cfssl или opensll для генерации новых сертификатов с 10-летним использованием. Может ли кто-нибудь, пожалуйста, помогите мне.
Спасибо всем
Вы можете сгенерировать сертификаты с помощью cfssl или openssl и сохранить в каталоге и указать, что каталог в init Kubeadm и kubeadm не будут генерировать сертификаты и использовать предоставленные сертификаты.
kubeadm init --cert-dir
https://kubernetes.io/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/#custom -сертификаты
Kubeadm также предоставляет механизм обновления сертификатов для продления сертификатов на 1 год.
kubeadm alpha certs renew
Поскольку у вас есть работающий кластер, который подписывает сертификаты со сроком действия 1 год, вы можете изменить Этот флажок у диспетчера контроллеров контроллеров куба по умолчанию для сертификата, подписанного для подписи сертификатов в течение 10 лет.
--experimental-cluster-signing-duration duration Default: 8760h0m0s
После этого вы можете использовать приведенное ниже руководство, чтобы подписать сертификат, действительный в течение 10 лет.
https://kubernetes.io/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/#renew -certificates-с-kubernetes-сертификатов-апи