Geekly articles weekly

рдпрджрд┐ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рд╕рдбрд╝реЗ рд╣реБрдП рд╣реИрдВ рдФрд░ рдХреНрд▓рд╕реНрдЯрд░ рдПрдХ рдХрджреНрджреВ рдореЗрдВ рдмрджрд▓ рдЬрд╛рддрд╛ рд╣реИ рддреЛ рдХреНрдпрд╛ рдХрд░реЗрдВ?

рдпрджрд┐ kubectl get pod рдкреНрд░рддрд┐рдХреНрд░рд┐рдпрд╛ рдореЗрдВ kubectl get pod рдХрдорд╛рдВрдб рдорд┐рд▓рддрд╛ рд╣реИ:

 Unable to connect to the server: x509: certificate has expired or is not yet valid

рдлрд┐рд░, рд╕рдмрд╕реЗ рдЕрдзрд┐рдХ рд╕рдВрднрд╛рд╡рдирд╛ рд╣реИ, рдПрдХ рд╡рд░реНрд╖ рдмреАрдд рдЪреБрдХрд╛ рд╣реИ, рдЖрдкрдХреА рдХреБрдмреЗрд░рдиреЗрдЯ рдХреЗ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рд╕рдорд╛рдкреНрдд рд╣реЛ рдЧрдП рд╣реИрдВ, рдХреНрд▓рд╕реНрдЯрд░ рдШрдЯрдХреЛрдВ рдиреЗ рдЙрдирдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ рдмрдВрдж рдХрд░ рджрд┐рдпрд╛ рд╣реИ, рдЙрдирдХреЗ рдмреАрдЪ рдмрд╛рддрдЪреАрдд рдмрдВрдж рд╣реЛ рдЧрдИ рд╣реИ рдФрд░ рдЖрдкрдХрд╛ рдХреНрд▓рд╕реНрдЯрд░ рдПрдХ рдХрджреНрджреВ рдореЗрдВ рдмрджрд▓ рдЧрдпрд╛ рд╣реИред

рдЫрд╡рд┐

рдХреНрдпрд╛ рдХрд░рдирд╛ рд╣реИ рдФрд░ рдПрдХ рдХреНрд▓рд╕реНрдЯрд░ рдХреЛ рдХреИрд╕реЗ рдкреБрдирд░реНрд╕реНрдерд╛рдкрд┐рдд рдХрд░рдирд╛ рд╣реИ?

рд╕рдмрд╕реЗ рдкрд╣рд▓реЗ, рд╣рдореЗрдВ рдпрд╣ рд╕рдордЭрдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ рдХрд┐ рдЕрджреНрдпрддрди рдХрд┐рдП рдЬрд╛рдиреЗ рд╡рд╛рд▓реЗ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХрд╣рд╛рдБ рд╕реНрдерд┐рдд рд╣реИрдВред

рдХреНрд▓рд╕реНрдЯрд░ рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдиреЗ рдХреЗ рддрд░реАрдХреЗ рдХреЗ рдЖрдзрд╛рд░ рдкрд░, рдкреНрд░рдорд╛рдг рдкрддреНрд░ рдлрд╝рд╛рдЗрд▓реЛрдВ рдХрд╛ рд╕реНрдерд╛рди рдФрд░ рдирд╛рдо рднрд┐рдиреНрди рд╣реЛ рд╕рдХрддрд╛ рд╣реИред рдЗрд╕рд▓рд┐рдП, рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рдПрдХ рдХреНрд▓рд╕реНрдЯрд░ рдмрдирд╛рддреЗ рд╕рдордп, рдХреБрдмреЗрджрдо рд╕рд░реНрд╡реЛрддреНрддрдо рдкреНрд░рдерд╛рдУрдВ рдХреЗ рдЕрдиреБрд╕рд╛рд░ рдкреНрд░рдорд╛рдг рдкрддреНрд░ рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЛ рд╡рд┐рдШрдЯрд┐рдд рдХрд░рддрд╛ рд╣реИ ред рдЗрд╕ рдкреНрд░рдХрд╛рд░, рд╕рднреА рдкреНрд░рдорд╛рдгрдкрддреНрд░ /etc/kuberenetes/pki , /etc/kuberenetes/pki рдореЗрдВ рдПрдХреНрд╕рдЯреЗрдВрд╢рди .crt , рдирд┐рдЬреА рдХреБрдВрдЬрд┐рдпреЛрдВ рд╡рд╛рд▓реА рдлрд╝рд╛рдЗрд▓реЛрдВ рдореЗрдВ рдХреНрд░рдорд╢рдГ .key рдлрд╝рд╛рдЗрд▓реЛрдВ рдореЗрдВ рд╕реНрдерд┐рдд рд╣реЛрддреЗ рд╣реИрдВред рдкреНрд▓рд╕ /etc/kubernetes/ in /etc/kubernetes/ are /etc/kubernetes/ рдлрд╝рд╛рдЗрд▓реЗрдВ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ, рдкреНрд░рдмрдВрдзрдХ рдирд┐рдпрдВрддреНрд░рдХ, рд╢реЗрдбреНрдпреВрд▓рд░ рдФрд░ рдорд╛рд╕реНрдЯрд░ рдиреЛрдб рд╕реЗ рдХреНрдпреВрдмрд▓реЗрдЯ рдХреЗ рд▓рд┐рдП рдПрдХреНрд╕реЗрд╕ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреЗ рд╕рд╛рдеред .Conf рдлрд╝рд╛рдЗрд▓реЛрдВ рдореЗрдВ рдкреНрд░рдорд╛рдг рдкрддреНрд░ рдмреЗрд╕-рдПрдирдХреЛрдбреЗрдб рд░реВрдк рдореЗрдВ user.client-certificate-data рдлрд╝реАрд▓реНрдб рдореЗрдВ рдирд┐рд╣рд┐рдд рд╣реЛрддреЗ рд╣реИрдВред

рдЖрдк рдЗрд╕реЗ рдЬрд╛рд░реА рдХрд░рдиреЗ рдХреА рддрд┐рдерд┐ рдХреЛ рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ рдХрд┐ рдпрд╣ рдХрд┐рд╕рдХреЗ рджреНрд╡рд╛рд░рд╛ рдЬрд╛рд░реА рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ рдФрд░ рдХрд┐рд╕рдХреЗ рджреНрд╡рд╛рд░рд╛ рдкреНрд░рдорд╛рдг рдкрддреНрд░ рдкрд░ рд╣рд╕реНрддрд╛рдХреНрд╖рд░ рдХрд┐рдП рдЧрдП рдереЗ

shcert
 #!/bin/bash [ -f "$1" ] || exit if [[ $1 =~ \.(crt|pem)$ ]]; then openssl x509 -in "$1" -text -noout fi if [[ $1 =~ \.conf$ ]]; then certfile=$(mktemp) grep 'client-certificate-data:' "$1"| awk '{ print $2}' | base64 -d > "$certfile" openssl x509 -in "$certfile" -text -noout rm -f "$certfile" fi


рдЕрднреА рднреА рдкреНрд░рдорд╛рдгрдкрддреНрд░ рд╣реИрдВ рдЬреЛ рдПрдкреАрдЖрдИ рдореЗрдВ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдХреЗ рд▓рд┐рдП рдХрд╛рдо рдиреЛрдбреНрд╕ рдкрд░ рдХреНрдпреВрдмрд▓реЗрдЯ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддреЗ рд╣реИрдВред рдпрджрд┐ рдЖрдкрдиреЗ рдХреНрд▓рд╕реНрдЯрд░ рдореЗрдВ рдиреЛрдбреНрд╕ рдЬреЛрдбрд╝рдиреЗ рдХреЗ рд▓рд┐рдП kubeadm рдЬреНрд╡рд╛рдЗрди рдХрд┐рдпрд╛ рд╣реИ, рддреЛ рд╕рдмрд╕реЗ рдЕрдзрд┐рдХ рд╕рдВрднрд╛рд╡рдирд╛ рд╣реИ рдХрд┐ TLS рдмреВрдЯрд╕реНрдЯреНрд░реИрдкрд┐рдВрдЧ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдиреЛрдб рдХреЛ рдХрдиреЗрдХреНрдЯ рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛, рдЗрд╕ рд╕реНрдерд┐рддрд┐ рдореЗрдВ рдХреНрдпреВрдмрд▓реЗрдЯ рдЕрдкрдиреЗ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХреЛ рд╕реНрд╡рддрдГ рдирд╡реАрдиреАрдХреГрдд рдХрд░ рд╕рдХрддрд╛ рд╣реИ - рдпрджрд┐ рдЗрд╕реЗ --rotate-certificates рд╡рд┐рдХрд▓реНрдк рджрд┐рдпрд╛ рдЧрдпрд╛ рд╣реЛред рдХреБрдмреЗрд░рдиреЗрдЯ рдХреЗ рд╣рд╛рд▓ рдХреЗ рд╕рдВрд╕реНрдХрд░рдгреЛрдВ рдореЗрдВ, рдпрд╣ рд╡рд┐рдХрд▓реНрдк рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ рд╕рдХреНрд╖рдо рд╣реИред
рдпрд╣ рдЬрд╛рдВрдЪрдирд╛ рдХрд┐ рдиреЛрдб рдЯреАрдПрд▓рдПрд╕ рдмреВрдЯрд╕реНрдЯреНрд░реИрдк рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдЬреБрдбрд╝рд╛ рд╣реБрдЖ рд╣реИ, рдХрд╛рдлреА рд╕рд░рд▓ рд╣реИ - рдЗрд╕ рдорд╛рдорд▓реЗ рдореЗрдВ, / /etc/kubernetes/kubelet.conf -client- /var/lib/kubelet/pki/kubelet-client-current.pem - /etc/kubernetes/kubelet.conf рдлрд╝рд╛рдЗрд▓ рдЖрдорддреМрд░ рдкрд░ /etc/kubernetes/kubelet.conf рдлрд╝рд╛рдЗрд▓ рдореЗрдВ рдХреНрд▓рд╛рдЗрдВрдЯ-рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдлрд╝реАрд▓реНрдб рдореЗрдВ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рд╣реЛрддреА рд╣реИред рдЬреЛ рд╡рд░реНрддрдорд╛рди рдкреНрд░рдорд╛рдг рдкрддреНрд░ рдХреЗ рд▓рд┐рдП рдПрдХ рд╕рд╣рд╛рдиреБрднреВрддрд┐ рд╣реИред

рдЖрдк shcert рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдЗрд╕ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХреА рд╕рдорд╛рдкреНрддрд┐ рддрд┐рдерд┐рдпрд╛рдВ рднреА рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ shcert

рд╣рдо рдкреНрд░рдорд╛рдгрдкрддреНрд░реЛрдВ рдХреЛ рдирд╡реАрдиреАрдХреГрдд рдХрд░рдиреЗ рдХреА рд╕рдорд╕реНрдпрд╛ рдкрд░ рд▓реМрдЯрддреЗ рд╣реИрдВред

рдпрджрд┐ рдЖрдкрдиреЗ kubeadm рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдХреНрд▓рд╕реНрдЯрд░ рд╕реНрдерд╛рдкрд┐рдд рдХрд┐рдпрд╛ рд╣реИ, рддреЛ рдореЗрд░реЗ рдкрд╛рд╕ рдЖрдкрдХреЗ рд▓рд┐рдП рдЕрдЪреНрдЫреА рдЦрдмрд░ рд╣реИред рд╕рдВрд╕реНрдХрд░рдг 1.15 рдХреЗ рд╕рд╛рде рд╢реБрд░реВ, kubeadm рдПрдХ рдХрдорд╛рдВрдб рдХреЗ рд╕рд╛рде рд▓рдЧрднрдЧ рд╕рднреА рдирд┐рдпрдВрддреНрд░рдг рд╡рд┐рдорд╛рди рдкреНрд░рдорд╛рдг рдкрддреНрд░ рдХреЛ рдЕрдкрдбреЗрдЯ рдХрд░ рд╕рдХрддрд╛ рд╣реИ

 kubeadm alpha certs renew all

рдпрд╣ рдЖрджреЗрд╢ / etc / kubernetes рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдореЗрдВ рд╕рднреА рдкреНрд░рдорд╛рдгрдкрддреНрд░реЛрдВ рдХреЛ рдирд╡реАрдиреАрдХреГрдд рдХрд░реЗрдЧрд╛, рднрд▓реЗ рд╣реА рд╡реЗ рдкрд╣рд▓реЗ рд╣реА рд╕рдорд╛рдкреНрдд рд╣реЛ рдЪреБрдХреЗ рд╣реЛрдВ рдФрд░ рд╕рдм рдХреБрдЫ рдЯреВрдЯ рдЧрдпрд╛ рд╣реЛред

рдХреЗрд╡рд▓ рдХреНрдпреВрдмрд▓реЗрдЯ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХреЛ рдЕрдкрдбреЗрдЯ рдирд╣реАрдВ рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛ - рдпрд╣ рд╡рд╣ рд╣реИ рдЬреЛ /etc/kubernetes/kubelet.conf рдлрд╝рд╛рдЗрд▓ рдореЗрдВ рдирд┐рд╣рд┐рдд рд╣реИ!
рдЕрджреНрдпрддрди: kubeadm, рд╕рдВрд╕реНрдХрд░рдг 1.17 рд╕реЗ рд╢реБрд░реВ рд╣реЛрддрд╛ рд╣реИ, рдЬрд┐рд╕рдореЗрдВ рд╕рднреА рдиреЛрдбреНрд╕ (рдпрд╣рд╛рдВ рддрдХ тАЛтАЛрдХрд┐ рдкрд╣рд▓реЗ рд╡рд┐рдЬрд╝рд╛рд░реНрдб рдкрд░ рдЬрд╣рд╛рдВ kubeadm init рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛) culet рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХрд╛ рд╕реНрд╡рдд: рдирд╡реАрдиреАрдХрд░рдг рд╢рд╛рдорд┐рд▓ рд╣реИред рдЪреЗрдХрд┐рдВрдЧ рдмрд╣реБрдд рд╕рд░рд▓ рд╣реИ - /etc/kubernetes/kubelet.conf рдореЗрдВ рдлрд╝рд╛рдЗрд▓ /etc/kubernetes/kubelet.conf рд░рд╛рд╕реНрддрд╛ / /var/lib/kubelet/pki/kubelet-client-current.pem рдХреНрд▓рд╛рдЗрдВрдЯ рд╕рд░реНрдЯрд┐рдлрд┐рдХреЗрдЯ рдлреАрд▓реНрдб рдореЗрдВ рджрд░реНрд╢рд╛рдпрд╛ рдЬрд╛рдПрдЧрд╛ред

рдЗрд╕ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХреЛ рдирд╡реАрдиреАрдХреГрдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЦрд╛рддрд╛ рдмрдирд╛рдПрдБ рдХрдорд╛рдВрдб рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВ

 kubeadm alpha kubeconfig user --client-name system:node:kube.slurm.io --org system:nodes > /etc/kubernetes/kubelet.conf

рдпрджрд┐ рд╕рд┐рд╕реНрдЯрдо рдореЗрдВ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЦрд╛рддрд╛ рд╣реИ, рддреЛ рдпрд╣ рдХрдорд╛рдВрдб рдЗрд╕ рдЦрд╛рддреЗ рдХреЗ рд▓рд┐рдП рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХреЛ рдЕрдкрдбреЗрдЯ рдХрд░рддрд╛ рд╣реИред --client-name рд╡рд┐рдХрд▓реНрдк рдореЗрдВ рд╕рд╣реА рд╣реЛрд╕реНрдЯ рдирд╛рдо рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдордд рднреВрд▓рдирд╛, рдЖрдк рдореМрдЬреВрджрд╛ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХреЗ рд╡рд┐рд╖рдп рдХреНрд╖реЗрддреНрд░ рдореЗрдВ рд╣реЛрд╕реНрдЯ рдирд╛рдо рдХреЛ рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ:

 shcert /etc/kubernetes/kubelet.conf

рдФрд░ рд╣рд╛рдВ, рдкреНрд░рдорд╛рдг рдкрддреНрд░ рдХреЛ рдЕрдкрдбреЗрдЯ рдХрд░рдиреЗ рдХреЗ рдмрд╛рдж, рдЖрдкрдХреЛ рдирд┐рдпрдВрддреНрд░рдг рд╡рд┐рдорд╛рди рдХреЗ рд╕рднреА рдШрдЯрдХреЛрдВ рдХреЛ рдлрд┐рд░ рд╕реЗ рд╢реБрд░реВ рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ, рдкреВрд░реЗ рдиреЛрдб рдХреЛ рд░рд┐рдмреВрдЯ рдХрд░рдирд╛ рдпрд╛ рдХрдВрдЯреЗрдирд░, рдЖрджрд┐, рдПрдкреАрдЖрдИ, рдирд┐рдпрдВрддреНрд░рдХ-рдкреНрд░рдмрдВрдзрдХ рдФрд░ рдЕрдиреБрд╕реВрдЪрдХ рдХреЛ рдбреЙрдХ docker stop рд╕рд╛рде docker stop рдФрд░ рдлрд┐рд░ рдХреНрдпреВрдмрд┐рдХ рд╕рд┐рд╕реНрдЯреЗрдХреНрдЯрд▓ systemctl restart kubelet ред

рдпрджрд┐ рдЖрдкрдХреЗ рдХреНрд▓рд╕реНрдЯрд░ рдХрд╛ рдкреБрд░рд╛рдирд╛ рд╕рдВрд╕реНрдХрд░рдг рд╣реИ: 1.13 рдпрд╛ рдЙрд╕рд╕реЗ рдХрдо, рддреЛ рдпрд╣ рдЖрд╕рд╛рдиреА рд╕реЗ 1.15 рдкрд░ kubeadm рдХреЛ рдЕрдкрдЧреНрд░реЗрдб рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд╛рдо рдирд╣реАрдВ рдХрд░реЗрдЧрд╛, рдХреНрдпреЛрдВрдХрд┐ рдпрд╣ рдХреНрдпреВрдмрд▓реЗрдЯ рдФрд░ рдХреБрдмреЗрд░рдиреЗрдЯреНрд╕-рд╕реАрдиреА рдирд┐рд░реНрднрд░рддрд╛ рдХреЗ рд╕рд╛рде рдЦреАрдВрдЪрддрд╛ рд╣реИ, рдЬрд┐рд╕рд╕реЗ рд╕рдорд╕реНрдпрд╛рдПрдВ рд╣реЛ рд╕рдХрддреА рд╣реИрдВ, рдХреНрдпреЛрдВрдХрд┐ рдХреНрд▓рд╕реНрдЯрд░ рдШрдЯрдХреЛрдВ рдХреЗ рдкреНрд░рджрд░реНрд╢рди рдПрдХ рд╕реЗ рдЕрдзрд┐рдХ рд╕рдВрд╕реНрдХрд░рдгреЛрдВ рдореЗрдВ рднрд┐рдиреНрди рд╣реЛрддреЗ рд╣реИрдВред рдордВрдЪ, рдЧрд╛рд░рдВрдЯреА рдирд╣реАрдВред рдЗрд╕ рд╕реНрдерд┐рддрд┐ рд╕реЗ рд╕рдмрд╕реЗ рдЖрд╕рд╛рди рддрд░реАрдХрд╛ рдХрд┐рд╕реА рдЕрдиреНрдп рдорд╢реАрди рдкрд░ рдХреБрдмреЗрджрдо рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдирд╛ рд╣реИ, рджреНрд╡рд┐рдЖрдзрд╛рд░реА рдлрд╝рд╛рдЗрд▓ /usr/bin/kubeadm , рдЗрд╕реЗ рдореГрддрдХ рд╕рдореВрд╣ рдХреЗ рдорд╛рд╕реНрдЯрд░ рдиреЛрдбреНрд╕ рдореЗрдВ рдХреЙрдкреА рдХрд░рдирд╛ рдФрд░ рдХреЗрд╡рд▓ рдкреНрд░рдорд╛рдгрдкрддреНрд░реЛрдВ рдХреЛ рдирд╡реАрдиреАрдХреГрдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЗрд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ рд╣реИред рдФрд░ рдХреНрд▓рд╕реНрдЯрд░ рдХреЛ рдкреБрдирд░реНрдЬреАрд╡рд┐рдд рдХрд░рдиреЗ рдХреЗ рдмрд╛рдж, рдЗрд╕реЗ рдирд┐рдпрдорд┐рдд рддрд░реАрдХреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдЪрд░рдг рджрд░ рдЪрд░рдг рдЕрдкрдбреЗрдЯ рдХрд░реЗрдВ, рд╣рд░ рдмрд╛рд░ рдХреБрдмреЗрдбрдо рдХреЗ рдПрдХ рд╕рдВрд╕реНрдХрд░рдг рдХреЛ рдирдП рд╕рд┐рд░реЗ рд╕реЗ рд╕реНрдерд╛рдкрд┐рдд рдХрд░реЗрдВред

рдФрд░ рдЕрдВрдд рдореЗрдВ, рд╕рдВрд╕реНрдХрд░рдг 1.15 рд╕реЗ kubeadm рдиреЗ рд╕реАрдЦрд╛ рдХрд┐ рдХреИрд╕реЗ kubeadm upgrade рдХрдорд╛рдВрдб рдХреЗ рд╕рд╛рде рдХреНрд▓рд╕реНрдЯрд░ рдХреЛ рдЕрдкрдбреЗрдЯ рдХрд░рддреЗ рд╕рдордп рд╕рднреА-рд╕рднреА рдкреНрд░рдорд╛рдгрдкрддреНрд░реЛрдВ рдХреЛ рдирд╡реАрдиреАрдХреГрдд рдХрд░рдирд╛ рд╣реИред рдЗрд╕рд▓рд┐рдП рдпрджрд┐ рдЖрдк рдирд┐рдпрдорд┐рдд рд░реВрдк рд╕реЗ рд╡рд░реНрд╖ рдореЗрдВ рдХрдо рд╕реЗ рдХрдо рдПрдХ рдмрд╛рд░ рдЕрдкрдиреЗ рдХреНрд▓рд╕реНрдЯрд░ рдХреЛ рдЕрдкрдбреЗрдЯ рдХрд░рддреЗ рд╣реИрдВ, рддреЛ рдЖрдкрдХреЗ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рд╣рдореЗрд╢рд╛ рдорд╛рдиреНрдп рд╣реЛрдВрдЧреЗред

рд▓реЗрдХрд┐рди рдЕрдЧрд░ рдХреНрд▓рд╕реНрдЯрд░ рдХреЛ рдХреБрдмреЗрджрдо рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рд╕реНрдерд╛рдкрд┐рдд рдирд╣реАрдВ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ, рддреЛ рдЖрдкрдХреЛ рдУрдкрдирд╕реАрдПрд▓ рдХреЛ рдЪреБрдирдирд╛ рд╣реЛрдЧрд╛ рдФрд░ рд╕рднреА рдкреНрд░рдорд╛рдгрдкрддреНрд░реЛрдВ рдХреЛ рд╡реНрдпрдХреНрддрд┐рдЧрдд рд░реВрдк рд╕реЗ рдирд╡реАрдиреАрдХреГрдд рдХрд░рдирд╛ рд╣реЛрдЧрд╛ред

рд╕рдорд╕реНрдпрд╛ рдпрд╣ рд╣реИ рдХрд┐ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдореЗрдВ рд╡рд┐рд╕реНрддрд╛рд░рд┐рдд рдлрд╝реАрд▓реНрдб рд╣реЛрддреЗ рд╣реИрдВ, рдФрд░ рд╡рд┐рднрд┐рдиреНрди рдХреНрд▓рд╕реНрдЯрд░ рдЗрдВрд╕реНрдЯреЙрд▓реЗрд╢рди рдЯреВрд▓ рдлрд╝реАрд▓реНрдб рдХреЗ рдЕрдкрдиреЗ рд╕реЗрдЯ рдХреЛ рдЬреЛрдбрд╝ рд╕рдХрддреЗ рд╣реИрдВред рдЗрд╕рдХреЗ рдЕрд▓рд╛рд╡рд╛, рдЦреБрд▓рддрд╛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдФрд░ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рд╕рд╛рдордЧреНрд░реА рдХреЗ рдЖрдЙрдЯрдкреБрдЯ рдореЗрдВ рдЗрди рдХреНрд╖реЗрддреНрд░реЛрдВ рдХреЗ рдирд╛рдо рд╕рд╣рд╕рдВрдмрджреНрдз рд╣реИрдВ, рд▓реЗрдХрд┐рди рдХрдордЬреЛрд░ рд░реВрдк рд╕реЗред рдпрд╣ рдЖрд╡рд╢реНрдпрдХ рд╣реИ рдХрд┐ Google рдФрд░ рдЪрдпрди рдХрд░реЗрдВред

рдореИрдВ рдУрдкрдирд╕реЗрд▓ рдХреЗ рд▓рд┐рдП рдПрдХ рдЙрджрд╛рд╣рд░рдг рд╡рд┐рдиреНрдпрд╛рд╕ рджреВрдВрдЧрд╛, рдЬрд┐рд╕рдореЗрдВ рдЕрд▓рдЧ-рдЕрд▓рдЧ рд╡рд░реНрдЧреЛрдВ рдХрд╛ рд╡рд░реНрдгрди рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ, рдЬреЛ рдкреНрд░рддреНрдпреЗрдХ рдкреНрд░рдХрд╛рд░ рдХреЗ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХреЗ рд▓рд┐рдП рд╡рд┐рд╢рд┐рд╖реНрдЯ рд╣реИрдВред рд╕реАрдПрд╕рдЖрд░ рдмрдирд╛рддреЗ рдФрд░ рд╣рд╕реНрддрд╛рдХреНрд╖рд░ рдХрд░рддреЗ рд╕рдордп рд╣рдо рд╕рдВрдмрдВрдзрд┐рдд рдЕрдиреБрднрд╛рдЧ рдХрд╛ рдЙрд▓реНрд▓реЗрдЦ рдХрд░реЗрдВрдЧреЗред рдЗрд╕ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХрд╛ рдЙрдкрдпреЛрдЧ рд░реИрдВрдЪрд░ рджреНрд╡рд╛рд░рд╛ рдПрдХ рд╕рд╛рд▓ рдкрд╣рд▓реЗ рд╕реНрдерд╛рдкрд┐рдд рдХреНрд▓рд╕реНрдЯрд░ рдХреЛ рдкреБрдирд░реНрдЬреАрд╡рд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ред

openssl.cnf
 [req] distinguished_name = req_distinguished_name req_extensions = v3_req [v3_req] keyUsage = nonRepudiation, digitalSignature, keyEncipherment extendedKeyUsage = clientAuth [client] keyUsage = critical,digitalSignature, keyEncipherment extendedKeyUsage = clientAuth [apiproxyclient] keyUsage = critical,digitalSignature, keyEncipherment extendedKeyUsage = clientAuth, serverAuth [etcd] keyUsage = critical,digitalSignature, keyEncipherment extendedKeyUsage = clientAuth, serverAuth subjectAltName = @alt_names [api] keyUsage = critical,digitalSignature, keyEncipherment extendedKeyUsage = clientAuth, serverAuth subjectAltName = @alt_names [alt_names] DNS.1 = ec2-us-east-1-1a-c1-master-2 DNS.2 = ec2-us-east-1-1a-c1-master-3 DNS.3 = ec2-us-east-1-1a-c1-master-1 DNS.4 = localhost DNS.5 = kubernetes DNS.6 = kubernetes.default DNS.7 = kubernetes.default.svc DNS.8 = kubernetes.default.svc.cluster.local IP.1 = 10.0.0.109 IP.2 = 10.0.0.159 IP.3 = 10.0.0.236 IP.4 = 127.0.0.1 IP.5 = 10.43.0.1


рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдореЗрдВ рд╡рд╛рд╕реНрддрд╡рд┐рдХ рд╡рд┐рд╢реЗрд╖рддрд╛рдУрдВ рдФрд░ рдЕрддрд┐рд░рд┐рдХреНрдд рдирд╛рдореЛрдВ рдХреЛ рдХрдорд╛рдВрдб рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рджреЗрдЦрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ

 openssl x509 -in cert.crt -text

рд╕рд░реНрд╡рд░ API рдХреЗ рд▓рд┐рдП рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХреЛ рдирд╡реАрдиреАрдХреГрдд рдХрд░рддреЗ рд╕рдордп, рдореБрдЭреЗ рдПрдХ рд╕рдорд╕реНрдпрд╛ рдереА: рдЕрджреНрдпрддрди рдкреНрд░рдорд╛рдг рдкрддреНрд░ рдХрд╛рдо рдирд╣реАрдВ рдХрд░рддрд╛ рдерд╛ред рдЗрд╕рдХрд╛ рд╕рдорд╛рдзрд╛рди рдПрдХ рдкреНрд░рдорд╛рдг рдкрддреНрд░ рдЬрд╛рд░реА рдХрд░рдирд╛ рдерд╛ рдЬреЛ рдХрд┐ рдЕрддреАрдд рдореЗрдВ 1 рд╡рд░реНрд╖ рдХреЗ рд▓рд┐рдП рд╡реИрдз рдерд╛ред

рдУрдкрдирд╕реЗрд▓ рдореЗрдВ, рдЖрдк рдПрдХ рд╕рд╛рдзрд╛рд░рдг рдХрдорд╛рдВрдб рдХреЗ рд╕рд╛рде рдЕрддреАрдд рдореЗрдВ рдорд╛рдиреНрдп рдкреНрд░рдорд╛рдг рдкрддреНрд░ рдЬрд╛рд░реА рдирд╣реАрдВ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рдХреЛрдб рд╕рдЦреНрддреА рд╕реЗ рдХрд╣рддрд╛ рд╣реИ рдХрд┐ рдкреНрд░рдорд╛рдг рдкрддреНрд░ рдХреЗрд╡рд▓ рд╡рд░реНрддрдорд╛рди рдХреНрд╖рдг рд╕реЗ рдорд╛рдиреНрдп рд╣реИред рд▓реЗрдХрд┐рди рдЖрдк рд╕реНрдерд╛рдиреАрдп рд╕реНрддрд░ рдкрд░ libfaketime рд▓рд╛рдЗрдмреНрд░реЗрд░реА рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рд╡рд╛рдкрд╕ рдЬрд╛ рд╕рдХрддреЗ рд╣реИрдВ

 yum install libfaketime LD_PRELOAD=/usr/lib64/faketime/libfaketime.so.1 FAKETIME="-365d" openssl x509 -req ...

рд╣рдо рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдПрд▓реНрдЧреЛрд░рд┐рдердо рдХреЗ рдЕрдиреБрд╕рд╛рд░ рд╡рд┐рд╕реНрддрд╛рд░рд┐рдд рдкреНрд░рдорд╛рдг рдкрддреНрд░ рдЬрд╛рд░реА рдХрд░рддреЗ рд╣реИрдВ:

рд╣рдо рдПрдХ рдореМрдЬреВрджрд╛ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдПрдХ рд╕реАрдПрд╕рдЖрд░ рдмрдирд╛рддреЗ рд╣реИрдВ, рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдлрд╝рд╛рдЗрд▓ рдореЗрдВ рдЙрдиреНрдирдд рд╡рд┐рд╢реЗрд╖рддрд╛рдУрдВ рдХреА рд╕реВрдЪреА рдХреЗ рд╕рд╛рде рд╡рд╛рдВрдЫрд┐рдд рдЕрдиреБрднрд╛рдЧ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░реЗрдВ:

 openssl x509 -x509toreq -in "node.cert" -out "node.csr" -signkey "node.key" -extfile "openssl.cnf" -extensions client

рд╣рдо рдЗрд╕реЗ рд╕рдВрдмрдВрдзрд┐рдд рд░реВрдЯ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХреЗ рд╕рд╛рде рд╕рд╛рдЗрди рдХрд░рддреЗ рд╣реИрдВ, 1 рд╕рд╛рд▓ рдкрд╣рд▓реЗ рдХреЗ рд╕рдордп рдХреЛ рдмрджрд▓рддреЗ рд╣реБрдП рдФрд░ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдлрд╝рд╛рдЗрд▓ рдореЗрдВ рдЙрдиреНрдирдд рд╡рд┐рд╢реЗрд╖рддрд╛рдУрдВ рдХреА рд╕реВрдЪреА рдХреЗ рд╕рд╛рде рд╡рд╛рдВрдЫрд┐рдд рдЕрдиреБрднрд╛рдЧ рдХреЛ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░рддреЗ рд╣реИрдВред

 LD_PRELOAD=/usr/lib64/faketime/libfaketime.so.1 FAKETIME="-365d" openssl x509 -req -days 36500 -in "node.csr" -CA "kube-ca.pem" -CAkey "kube-ca-key.pem" -CAcreateserial -out "node.new.cert" -extfile "openssl.cnf" -extensions client

рд╣рдо рд╡рд┐рд╢реЗрд╖рддрд╛рдУрдВ рдХреА рдЬрд╛рдВрдЪ рдХрд░рддреЗ рд╣реИрдВ рдФрд░ рдирд┐рдпрдВрддреНрд░рдг рд╡рд┐рдорд╛рди рдШрдЯрдХреЛрдВ рдХреЛ рдкреБрдирд░рд╛рд░рдВрдн рдХрд░рддреЗ рд╣реИрдВред

рд╕рд░реНрдЧреЗрдИ рдмреЛрдВрджрд░реЗрд╡,
рд╕реНрд▓рдо рд╢рд┐рдХреНрд╖рдХ
slurm.io

Source: https://habr.com/ru/post/hi465733/

More articles:


All Articles