12.3.3. 重新部署新的 etcd CA
openshift-etcd/redeploy-ca.yml playbook 通过生成新的 CA 证书来重新部署 etcd CA 证书,并将更新的捆绑包分发到所有 etcd peers 和 master 客户端。
这还包括以下串行重启:
- etcd
- 主服务
重新部署新生成的 etcd CA:
运行 openshift-etcd/redeploy-ca.yml playbook,指定您的清单文件:
$ cd /usr/share/ansible/openshift-ansible $ ansible-playbook -i <inventory_file> \ playbooks/openshift-etcd/redeploy-ca.yml
首次运行 playbook/openshift-etcd/redeploy-ca.yml
playbook 后,包含 CA 符号器的压缩捆绑包将保留到 /etc/etcd/etcd_ca.tgz
中。因为生成新 etcd 证书需要 CA 签名者,所以备份它们非常重要。
如果 playbook 再次运行,因为预注意它不会在磁盘上覆盖这个捆绑包。要再次运行 playbook,请备份并移动该路径中的捆绑包,然后运行 playbook。
当新的 etcd CA 已就绪后,每当您希望使用由 etcd 对等和 master 客户端上的新的 etcd CA 签发的证书进行重新部署时,您可以自行决定使用 openshift-etcd/redeploy-certificates.yml playbook。另外,除了 etcd peers 和 master 客户端外,您还可以使用 redeploy-certificates.yml playbook 为 OpenShift Container Platform 组件重新部署证书。
etcd
证书重新部署可能会导致将 串行
复制到所有 master 主机上。