2017-09-22 13 views
0

사용 방법 kubernetes 클러스터의 다른 계층에서 인증서를 로테이션 할 수 있습니까?사용 Kubernetes 클러스터에서 certs 순환 기능을 구현할 수 있습니다.

함대를 사용하기 전에 우리는 kubernetes로 이전했습니다.

+0

kubernetes 클러스터의 다른 레이어? _ "다른 레이어"는 무엇을 의미합니까? –

+0

워크 플로우에 새로운 것이 아니거나 함대에서 일하고 있고 이제는 kubernetes에서 동일한 단계를 수행하고 싶습니까? –

+0

다른 계층 : 인프라 계층, Kubernetes 계층 및 서비스 계층 (상위 플랫폼 서비스 (elasticsearch 등)) 하위 플랫폼 서비스 (etcd, pwx 등 ... – Ravim

답변

0

정확한 상황을 듣는다면 노드에 ansible-pull.serviceansible-pull.timer을 설치하고 (선택적으로 모니터링하는) DaemonSet으로 가장 행복하다고 생각합니다.

DaemonSet

는 용기 (cronjob에 달리 또는) 모든 노드에 예약하고 (물론, DBUS 소켓과 함께) 콘테이너 더하기 go-systemd's ability to daemon-reload 내로 장착 /etc/systemd/system 부피되어 있도록, 용기는 적절 써 수 해당 노드에 대해 설명적인 .service.timer 파일

그러면 ansible-pull은 기존의 무책임한 플레이 북이 수행 한 모든 단계를 수행하면서 이전처럼 실행됩니다.

비 노드 머신에서 이와 유사한 작업을 수행하는 방법에는 여러 가지 방법이 있으므로 독자에게 연습으로 남겨 두겠습니다.

난 당신이 "인프라"레이어지만는 Kubernetes 인증서에서 회전으로 정의 모르겠어요은 ansible 풀의 관점에서 상대적으로 간단하다 : /etc/kubernetes/ssl의 새로운 worker.pemworker.key을 쓰기 kubelet.service 반송 (또는 hyperkube 해당) , voilà. 필자가 기대할 수있는 상위 플랫폼 서비스는 클러스터를 소유하는 (ReplicaSet | Deployment | ReplicationController | 등)에 의해 관리되므로 클러스터 내 리소스에 대해 훨씬 더 선언적 일 수 있으며 ConfigMap, Secret, Service,