使用Kubernetes Clusterで証明書ローテーション機能を実装することができます

Question

使用方法kubernetesクラスタの異なるレイヤで証明書ローテーションを使用する方法はありますか？

私たちは艦隊を使用し、現在はクベネズミに移動する前です。

Answer 1

あなたの状況が正しく聞こえる場合は、ノード上にansible-pull.serviceとansible-pull.timerをインストールして（オプションで監視する）DaemonSetで幸いになると思います。

DaemonSetは、容器が（cronジョブ又は異なり）、及び/etc/systemd/system容器内にマウントされたボリュームプラスgo-systemd's ability to daemon-reloadと（もちろんDBUSソケット、一緒に）各ノード上でスケジュールされ、容器が適切に書き出すことができる保証そのノードの記述的な.serviceと.timerファイル。

次に、ansible-pullは、あなたの既存の不可能なプレイブックが何をしていたかを前もって実行します。

ノード以外のマシンでも同様の操作を行う方法には多くのアプローチがありますので、これを読者の練習として残しておきます。

私はあなたが「インフラストラクチャ」層が、Kubernetesの本命を回転させるように定義かわからないがansibleプルの観点から、比較的簡単です、/etc/kubernetes/sslの新しいworker.pemとworker.keyを書き出すkubelet.serviceをバウンス（またはそのhyperkube同等） 、voilà。私が期待している上位プラットフォームサービスは、それらを所有する（ReplicaSet | Deployment | ReplicationController |など）によって管理されています。すなわち、クラスタ内のリソースに対して多くの宣言を行うことができ、ConfigMap、Secret、Service、