Ручное обновление сертификата Kubernetes - сбой обновления сертификата apiserver

У нас есть голый кластер k8, развернутый с использованием Кубеспрей, срок действия его сертификатов скоро истекает.

openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep 'Не'

Чтобы обновить сертификаты, следуйте инструкциям в официальное руководство.

сертификаты kubeadm обновить все

Затем удалил файлы манифеста в /etc/kubernetes/манифесты/ один за другим, но API-сервер не перезапустился после перемещения его манифеста обратно в /etc/кубернетес/манифесты, пришлось перезапускать узел вручную.

Здесь, предложите перезапустить контейнер docker.

Мои вопросы:

1. Каков наиболее безопасный способ обновления сертификатов (перезапуск узла или перезапуск докера).
2. Как влияет на производительность этот процесс обновления сертификата?
3. Есть ли способ определить время жизни сертификата в установке kubespray?

Версия Кубернета: 1.18.8
Кубадм: v1.18.8
ОС: Убунту 18.04

1. В качестве альтернативы временному удалению файлов манифеста из /etc/kubernetes/manifests/ и ожиданию 20 секунд вы можете попробовать перезапустить докер, как описано в вашем соединять, я нашел аналогичный обходной путь здесь.

2. Когда выполняется обновление сертификата корневого ЦС, компоненты kubernetes (apiserver, планировщик, контроллер-менеджер, kubelet) и модули приложений будут перезапущены.Поскольку обновление представляет собой последовательное обновление, система будет работать в обычном режиме, но во время обновления будет небольшое влияние на производительность. Пользователь должен обновлять хост последовательно, чтобы свести к минимуму влияние. https://docs.starlingx.io/specs/specs/stx-6.0/approved/security-2008675-kubernetes-rootca-update.html

3. Согласно Эта проблема похоже, что нет такого пути.