第9章：K8s叢集證書續簽，Etcd資料庫備份與恢復

阿新 • • 發佈：2020-08-23

K8s叢集證書續簽，Etcd資料庫備份與恢復

K8s 叢集證書續簽（kubeadm）

ETCD證書
自簽證書頒發機構（CA）：
• ca.crt
• ca.key
etcd叢集中相互通訊使用的客戶端證書：
• peer.crt
• peer.key
pod中定義Liveness探針使用的客戶端證書：
• healthcheck-client.crt
• healthcheck-client.key
etcd節點服務端證書：
• server.crt
• server.key

K8S證書：
自簽證書頒發機構（CA）：
• ca.crt

• ca.key
apiserver元件服務端證書：
• apiserver.crt
• apiserver.key
apiserver連線etcd客戶端證書：
• apiserver-etcd-client.crt
• apiserver-etcd-client.key
apiserver訪問kubelet 客戶端證書：
• apiserver-kubelet-client.crt
• apiserver-kubelet-client.key
匯聚層(aggregator)證書：
• front-proxy-ca.crt
• front-proxy-ca.key

代理端使用的客戶端證書，用作代理使用者與 kube-apiserver 認證：
• front-proxy-client.crt
• front-proxy-client.key
kubelet證書：已預設啟用自動輪轉。

檢查客戶端證書過期時間：
kubeadm alpha certs check-expiration
續簽所有證書：
kubeadm alpha certs renew all
cp /etc/kubernetes/admin.conf /root/.kube/config
檢視當前目錄所有證書有效時間：
ls |grep crt |xargs -I {} openssl x509 -text -in 
 {} |grep Not

Etcd資料庫備份與恢復

Kubernetes 使用 Etcd 資料庫實時儲存叢集中的資料，安全起見，一定要備份！

kubeadm部署方式：

備份：
ETCDCTL_API=3 etcdctl \
snapshot save snap.db \
--endpoints=https://127.0.0.1:2379 \
--cacert=/etc/kubernetes/pki/etcd/ca.crt \
--cert=/etc/kubernetes/pki/etcd/peer.crt \
--key=/etc/kubernetes/pki/etcd/peer.key

可以不用指定證書，操作的時候恢復後起不來


恢復：
1、先暫停kube-apiserver和etcd容器
mv /etc/kubernetes/manifests /etc/kubernetes/manifests.bak        # mv etcd.yaml kube-apiserver.yaml /tmp/ # 移走這兩個就可以
mv /var/lib/etcd/ /var/lib/etcd.bak
2、恢復
ETCDCTL_API=3 etcdctl \
snapshot restore snap.db \
--data-dir=/var/lib/etcd
3、啟動kube-apiserver和etcd容器
mv /etc/kubernetes/manifests.bak /etc/kubernetes/manifests

二進位制部署方式：

備份：
ETCDCTL_API=3 etcdctl \
snapshot save snap.db \
--endpoints=https://192.168.31.71:2379 \
--cacert=/opt/etcd/ssl/ca.pem \
--cert=/opt/etcd/ssl/server.pem \
--key=/opt/etcd/ssl/server-key.pem


恢復：
1、先暫停kube-apiserver和etcd
systemctl stop kube-apiserver
systemctl stop etcd
mv /var/lib/etcd/default.etcd /var/lib/etcd/default.etcd.bak
2、在每個節點上恢復
ETCDCTL_API=3 etcdctl snapshot restore snap.db \
--name etcd-1 \
--initial-cluster="etcd-1=https://192.168.31.71:2380,etcd-
2=https://192.168.31.72:2380,etcd-3=https://192.168.31.73:2380" \
--initial-cluster-token=etcd-cluster \
--initial-advertise-peer-urls=https://192.168.31.71:2380 \
--data-dir=/var/lib/etcd/default.etcd
3、啟動kube-apiserver和etcd
systemctl start kube-apiserver
systemctl start etcd

第9章：K8s叢集證書續簽，Etcd資料庫備份與恢復

K8s叢集證書續簽，Etcd資料庫備份與恢復

K8s 叢集證書續簽（kubeadm）

Etcd資料庫備份與恢復

第9章：K8s叢集證書續簽，Etcd資料庫備份與恢復

第2章：Kubernetes叢集部署、配置和驗證

第9章：Bootstrap Token方式增加Node

《電馭叛客2077攻略》第9章：垃圾場

python學習筆記第9章：資料庫操作

STM32H7視訊教程第9期：STM32H7的GPIO專題，通過驅動原始碼，參考手冊，資料手冊應用筆記系統學習GPIO知識點（2022-03-06）

梯度下降法快速教程 | 第三章：學習率衰減因子（decay）的原理與Python實現

《Java從入門到失業》第三章：基礎語法及基本程式結構（3.9）：陣列（陣列基本使用、陣列的迴圈、陣列拷貝、陣列排序、多維陣列）

《無垠的太空(9).利維坦隕落》第十三章：吉姆

在第9章例9.9和例9.10的基礎上,寫一個函式del,用來刪除動態連結串列中指定的節點

《SLAM導航機器人基礎》第三章：微控制器與STM32：串列埠Printf列印實驗

《深入應用C++11--程式碼優化與工程級應用》——第8章：使用C++改進我們的模式（命令模式）

第五章：排序檢索資料

第七章：資料過濾

006 --- 第9章原型模式

HTML5+CSS3前端入門教程---從0開始通過一個商城例項手把手教你學習PC端和移動端頁面開發第9章FlexBox實戰有路網

2019藍橋杯B組第9題：字尾表示式

第八章：Python高階程式設計-迭代器和生成器

第十章：Python高階程式設計-多執行緒、多程序和執行緒池程式設計

《Java從入門到失業》第三章：基礎語法及基本程式結構（一）：一個簡單的例子

第9章：K8s叢集證書續簽，Etcd資料庫備份與恢復

K8s叢集證書續簽，Etcd資料庫備份與恢復

K8s 叢集證書續簽（kubeadm）

Etcd資料庫備份與恢復

相關推薦