안녕하세요. 이번 시간에는 쿠버네티스 클러스터 인증서 갱신을 소개합니다. 실무에 적용하시기 전 충분히 테스트환경에서 테스트를 진행하고 적용해주시길 바랍니다.
1. 쿠버네티스 인증서란?
쿠버네티스 클러스터를 구성하면 자동으로 인증서가 생성됩니다. 이 인증서는 etcd, api 등 쿠버네티스 컴퍼넌트끼리 통신할 때 인증을 위해 사용됩니다.
2. 인증서 만료가 운영에 미치는 영향
문제는, 인증서 디폴트 만료시간이 1년입니다. 쿠버네티스 클러스터 설치하고 1년이 지나면 인증서가 만료되고 컴퍼넌트간 인증이 실패해서 쿠버네티스 클러스터가 더 이상 동작하지 않습니다.
3. 인증서 만료시간 확인
kubeadm명령어로 인증서 만료시간을 쉽게 확인할 수 있습니다.
kubeadm alpha certs check-expirationRESIDUAL TIME이 인증서 유효시간입니다. 아럐 예제는 344일동안 인증서를 사용할 수 있다는 의미입니다.
4. 갱신
4.1 백업
인증서 갱신이 실패했을경우를 대비해서 쿠버네티스 설정파일(/etc/kubernetes)을 백업합니다.
cp -r /etc/kubernetes ~/backups
4.2 인증서 갱신
kubeadm명령어로 쉽게 인증서 갱신을 할 수 있습니다.
kubeadm alpha certs renew all
공식문서에서는 HA설정이 되어 있다면 모든 control-plane에서 갱신 명령어를 사용해야한다고 설명합니다. 하지만, HA설정이 되어 있는 환경이 아니여서 HA환경은 생략합니다.
4.3 인증서 갱신 확인
인증서 만료시간을 다시 확인하면 364일로 변경되었습니다. 기존(챕터 3)에서는 344일이었습니다.
4.4 kubeconfig복사
인증서 갱신으로 kubeconfig파일도 변경되었습니다. 변경된 kubeconfig를 홈 디렉터리에 적용시켜줍니다.
cp /etc/Kubernetes/admin.conf $HOME/.kube/config
chown $(id -u):$(id -g) $HOME/.kube/config
chmod 777 $HOME/.kube/config'전공영역 공부 기록' 카테고리의 다른 글
| nexus private helm 저장소 생성 (0) | 2021.06.13 |
|---|---|
| 쿠버네티스 cert-manager로 let's encrypt 인증서 발급 (0) | 2021.06.09 |
| kubectl로 cluster admin 생성 (0) | 2021.05.09 |
| cert-manager로 self-signed 인증서 생성 (0) | 2021.05.09 |
| 공식 gitlab helm 설치 (2) | 2021.05.09 |