ServiceComb Alpha 集群动态主节点实现

最新推荐文章于 2024-12-16 11:03:09 发布
原创 最新推荐文章于 2024-12-16 11:03:09 发布 · 577 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

点击上方蓝色字关注我们~

Alpha可以通过扩展部署节点个数实现高可用集群部署,并且通过在节点上设置启动参数 alpha.event.scanner.enabled=false 关闭某些节点的后台定时执行的事务扫描,避免多个节点同时扫描事物表而可能导致的性能问题。但是当启动事务扫描的进程宕机后会导致没有进程进行事务扫描,从而导致事务补偿失败。

在0.4.0版本中,我们通过一种基于数据库表的抢占锁机制,实现Alpha集群中主节点的动态选举,并让事务扫描方法只在主节点上执行。当主节点宕机后其他节点通过抢占的方式选出一个新的主节点,本文将介绍在0.4.0版本相关的代码实现。

快速体验

在0.4.0版本中开启动态管理节点支持只需要增加启动参数alpha.cluster.master.enabled=true

例如:

01 分别启动两个节点

java -jar alpha-server-0.4.0-SNAPSHOT-exec.jar \
  --server.port=8090 \  --alpha.server.port=8080 \  --spring.datasource.url="jdbc:postgresql://127.0.0.1:5432/saga?useSSL=false" \  --spring.datasource.username=saga-user \  --spring.datasource.password=saga-password \  --alpha.cluster.master.enabled=truejava -jar alpha-server-0.4.0-SNAPSHOT-exec.jar \  --server.port=8091 \  --alpha.server.port=8081 \  --spring.datasource.url="jdbc:postgresql://127.0.0.1:5432/saga?useSSL=false" \  --spring.datasource.username=saga-user \  --spring.datasource.password=saga-password \  --alpha.cluster.master.enabled=true

02 启动后可以在日志中看到节点类型信息

在日志中看到Master Node,则表示这个进程是主节点:

01:31:07.032 [pool-3-thread-1] INFOorg.apache.servicecomb.pack.alpha.server.cluster.master.ClusterLockService - Master Node

在日志中看到Slave Node,则表示这个进程是从节点

01:31:31.059 [pool-3-thread-1] INFOorg.apache.servicecomb.pack.alpha.server.cluster.master.ClusterLockService - Slave Node

03 节点切换

当主节点进程宕后2秒钟,其他从节点会采用抢占的方式使自己成为主节点。

让事务扫描运行在主节点

事务扫描是通过EventScanner.java实现的,并且在AlphaConfig.java中进行初始化。在下面的例子中,可以看到在new EventScanner代码执行前进行了eventScannerEnabled判断,这个参数就是通过alpha.event.scanner.enabled指定的(默认是true),然后传入了nodeStatus 对象,这个对象就记录着这个节点的状态(主节点或者从节点),后边会讲解nodeStatus是如何构造的。

@Bean  TxConsistentService txConsistentService(      @Value("${alpha.event.pollingInterval:500}") int eventPollingInterval,      @Value("${alpha.event.scanner.enabled:true}") boolean eventScannerEnabled,      ScheduledExecutorService scheduler,      TxEventRepository eventRepository,      CommandRepository commandRepository,      TxTimeoutRepository timeoutRepository,      OmegaCallback omegaCallback) {        if (eventScannerEnabled) {          new EventScanner(scheduler,              eventRepository, commandRepository, timeoutRepository,              omegaCallback, eventPollingInterval, nodeStatus).run();          LOG.info("Starting the EventScanner.");          }        TxConsistentService consistentService = new TxConsistentService(eventRepository);        return consistentService;  }

用EventScanner.java的pollEvents方法进行定时事务扫描,并使用nodeStatus.isMaster()判断自己是否是主节点,只有主节点才允许执行。看到这里大家应该知道nodeStatus.isMaster()是我们判断主节点的关键对象,那么NodeStatus.java是如何被创建并初始化的呢?

 private void pollEvents() {    scheduler.scheduleWithFixedDelay(        () -> {          // only pull the events when working in the master mode          if(nodeStatus.isMaster()){            updateTimeoutStatus();            findTimeoutEvents();            abortTimeoutEvents();            saveUncompensatedEventsToCommands();            compensate();            updateCompensatedCommands();            deleteDuplicateSagaEndedEvents();            updateTransactionStatus();          }        },        0,        eventPollingInterval,        MILLISECONDS);  }

我们在AlphaConfig.java中通过以下方式声明,以确保无论您是否指定了alpha.cluster.master.enabled参数,事务扫描都可以正常工作。在这里可以看到当我们开启了集群模式后,节点刚启动时的状态是Slave,下面会说明状态是如何切换到Master的。

  @Bean  NodeStatus nodeStatus (){    if(masterEnabled){      return new NodeStatus(NodeStatus.TypeEnum.SLAVE);    }else{      return new NodeStatus(NodeStatus.TypeEnum.MASTER);    }  }
  @Autowired  NodeStatus nodeStatus;

控制节点状态切换的是ClusterLockService.java,这个服务会定时执行锁抢占,抢占成功后设置本节点为Master,否则为Slave。

  @Autowired  LockProvider lockProvider;  ...  ...  @Scheduled(cron = "0/1 * * * * ?")  public void masterCheck() {    if (applicationReady) {      this.locker = lockProvider.lock(this.getMasterLock());      if (this.locker.isPresent()) {        if (!this.locked) {          this.locked = true;          nodeStatus.setTypeEnum(NodeStatus.TypeEnum.MASTER);          LOG.info("Master Node");        }        //Keep locked      } else {        if (this.locked || !lockExecuted) {          locked = false;          nodeStatus.setTypeEnum(NodeStatus.TypeEnum.SLAVE);          LOG.info("Slave Node");        }      }      lockExecuted = true;    }  }

加锁服务基础类

在前边的说明中可以看到,在ClusterLockService.java的masterCheck方法中通过this.locker = lockProvider.lock(this.getMasterLock());获取一个锁并判断是否锁成功。

LockProvider.java 是一个接口,目前我们提供了基于JDBC的实现,包结构以及类依赖关系,如下图:

依赖关系如下:

  • LockProvider.java

    接口定义了锁方法lock。

  • LockProviderPersistence.java

    接口定义了以下三个方法,作为持久化锁的接口。

    • initLock 创建锁,尝试进行锁定并返回锁定是否成功。

    • updateLock 更新锁,进行再次锁定并返回是否成功(更新锁的接口设计的目的是为了非长连接锁设计,例如对于按照固定周期进行加锁的实现)。

    • unLock 解锁,取消锁定。

  • AbstractLockProvider.java

    抽象类实现了LockProvider.java接口的lock方法,并调用内部的LockProviderPersistence接口进行锁操作。

加锁服务 JDBC 实现

举个栗子:我喜欢和你们一起跑步,一致的步伐,一样的心跳,这感觉真好,当你掉队了,我带着大家跑

 1. JDBC锁类关系图如下: 

  • JdbcLockPersistence.java

    LockProviderPersistence.java接口实现,用来实现对数据库表操作。

  • JdbcLockProvider.java

    继承抽象类AbstractLockProvider.java,在构造函数中传入LockProviderPersistence.java的接库实现JdbcLockPersistence。

  • LockProviderJdbcConfiguration.java

    锁的JDBC实例构造类。

  • JPA操作相关类

    通过JPA操作master_lock表的相关功能定义在以下几个类。

    MasterLockEntityRepository.java、SpringMasterLockRepository.java、org.apache.servicecomb.pack.alpha.server.cluster.master.provider.jdbc.jpa.*

 2. 锁定表结构设计如下 

CREATE TABLE IF NOT EXISTS master_lock (  serviceName varchar(36) not NULL,  expireTime timestamp(3) not NULL,  lockedTime timestamp(3) not NULL,  instanceId  varchar(255) not NULL,  PRIMARY KEY (serviceName)) ENGINE=InnoDB DEFAULT CHARSET=utf8;

  • serviceName 服务名,这个字段取值 ${spring.application.name}

  • expireTime 锁定过期时间,这个字段取值 lockedTime+5s

  • lockedTime 最近一次锁定时间

  • instanceId 集群实例ID,这个字段取值 ${alpha.server.host}]:${alpha.server.port}

加锁过程

加锁/更新锁的过程是一个周期性重复执行的动作,步骤如下:

01. ClusterLockService.java服务中会每秒调用一次LockProvider.java接口的lock方法。

02. AbstractLockProvider.java抽象类中的lock方法会尝试调用JdbcLockPersistence.java的iniLock方法进行加锁,加锁的SQL实现定义在MasterLockEntityRepository.java中。

  • 如果表为空,那么插入一条记录并返回加锁成功。

  • 如果表中存在serviceName字段相同的记录,则捕获异常加锁失败。       

@Transactional  @Modifying  @Query(value = "INSERT INTO master_lock "      + "(serviceName, expireTime, lockedTime, instanceId) "      + "VALUES "      + "(?1, ?2, ?3, ?4)", nativeQuery = true)  int initLock(      @Param("serviceName") String serviceName,      @Param("expireTime") Date expireTime,      @Param("lockedTime") Date lockedTime,      @Param("instanceId") String instanceId);

03. 如果initLock加锁失败,则尝试调用MasterLockEntityRepository.java中的updateLock方法尝试更新锁。

  • 表中存在的本服务记录instanceId与本实例instanceId相同,则更新成功并返回加锁成功(这个表明上一个更新周期也是本服务更新的)。

  • 表中存在的本服务记录expireTime小于当前锁定时间 ,则更新成功并返回加锁成功(表示上一个锁定周期并没有实例进行锁定更新操作)。       

 @Transactional  @Modifying(clearAutomatically = true)  @Query("UPDATE org.apache.servicecomb.pack.alpha.server.cluster.master.provider.jdbc.jpa.MasterLock t "      + "SET t.expireTime = :expireTime"      + ",t.lockedTime = :lockedTime "      + ",t.instanceId = :instanceId "      + "WHERE t.serviceName = :serviceName AND (t.expireTime <= :lockedTime OR t.instanceId = :instanceId)")  int updateLock(      @Param("serviceName") String serviceName,      @Param("lockedTime") Date lockedTime,      @Param("expireTime") Date expireTime,      @Param("instanceId") String instanceId);

04. 释放锁unLock

系统中并没有进行释放锁的调用,因为不在JDBC层面,不会导致事务锁定,对于扩展实现它方式的锁实现预留接口。

抢占锁的其他实现

分布式锁可以通过扩展LockProvider.java和LockProviderPersistence.java接口提供多种实现,例如zookeeper,redis等。

注意

  • 基于数据库表的方式需要集群中多个节点的服务器时钟同步。

  • 基于mysql数据库时需要在JDBC连接地址中增加时区配置,serverTimezone=GMT%2b8。

  • 关于脑裂问题:

    由于网络、进程假死、中间件可能导致的脑裂问题在一定程度上不可避免,所以我们需要做一种权衡,即脑裂发生时是否可以避免问题进一步扩大。基于JDBC的分布式锁住要避免多个节点同时对事务表进行扫描,两者都是进行数据库操作,因为它们都基于数据库所以能够在一定程度上避免脑裂导致的集群处理问题,但是基于zookeeper,redis的方式可能会导致真实的脑裂发生,如果有什么更好的方法也可以在评论中留言,或者加入我们的微信群一起交流讨论。

添加小助手,扫码进群~

END

往期精彩回顾

基于CSE的微服务架构实践-Spring Boot技术栈选型

基于CSE的微服务架构实践-轻量级架构技术选型

基于CSE的微服务架构实践-基础架构

你点的每个赞,我都认真当成了喜欢

戳“阅读原文”即刻GET商业版CSE!

looook
关注
用Python简单代码实现炫酷动态条形图
Mr数据杨
02-08 3万+
通过使用Python的绘图库,可以轻松地创建动态条形图并在网页或桌面应用程序中展示数据。不仅如此,Python的简单易用的语法可以在几行代码中实现复杂的图形。
清晰易懂的 Kubernetes 多节点集群部署教程(生产级方案)
weixin_43236925的博客
04-10 2023
通过本教程,你已掌握:✅单机与多节点集群搭建✅核心资源对象操作✅生产级避坑指南✅高可用架构设计下一步建议学习Kubernetes 官方文档深入理解架构实践管理复杂应用探索Istio 服务网格实现高级流量管理立即动手部署你的第一个生产级 K8s 集群!🚢。
[case30]聊聊servicecomb-saga的alpha-server
weixin_34248023的博客
07-29 197
序 本文主要研究一下servicecomb-saga的alpha-server 启动alpha-server alpha-server是servicecomb-saga的分布式事务协调中心,采用spring boot开发,可以直接从jar包启动,需要依赖mysql或pg数据库,同时初始化数据。启动命令如下: java -jar -Dspr...
ServiceComb】扎实做微服务,认真做开源
微服务技术与实践专栏
10-10 721
5问ServiceComb微服务 ServiceComb 是谁?ServiceComb取名寓意蜂巢,是微服务开源项目,Apache软件基金会孵化项目,其源自Servic...
servicecomb-pack:Apache ServiceComb Pack是最终用于微服务应用程序的数据一致性解决方案。 ServiceComb Pack当前通过使用Alpha作为事务处理协调器和Omega作为事务处理代理来提供TCC和Saga分布式事务协调解决方案
02-26
打包| Apache ServiceComb Pack是最终用于微服务应用程序的数据一致性解决方案。 特征 高可用性。 协调器是无状态的,因此可以具有多个实例。 高可靠性。 所有事务事件都永久存储在数据库中。 高性能。 事务事件通过gRPC报告给协调器,事务负载由Kyro序列化/反序列化。 低入侵。 您需要做的就是添加2-3个注释和相应的补偿方法。 易于部署。 所有组件都可以通过docker引导。 支持正向(重试)和反向(补偿)恢复。 易于扩展基于Pack的其他协调协议,现在我们可以立即使用Saga和TCC支持。 建筑学 ServiceComb Pack由alpha和omega组成。 Alpha充当协调者。 它负责交易的管理。 欧米茄在微服务中充当代理。 它拦截传入/传出的请求并将事务事件报告给Alpha。 下图显示了alpha,omega和服务之间的关系。 这样,
java微服务框架下载安装_微服务框架ServiceComb一 Service-Center集群安装部署
weixin_39884373的博客
02-24 458
环境 :操作系统 [ CentOS release 6.4 (Final) ]服务器地址:[master:172.17.34.10 node2:172.17.34.09 node3:172.17.34.08]GOLANG1.8安装1、下载Go1.8.1wget https://storage.googleapis.com/golang/go1.8.1.linux-amd64.tar.gztar z...
Hadoop 2.0.5-alpha集群搭建02-Hadoop集群配置
技术世界的五彩缤纷
02-22 664
步骤: 1.  下载和解压Hadoop 2.0.5-alpha 2.配置Hadoop环境文件和环境变量文件 3.将配置好的Hadoop主目录发送到各个节点 4.启动Hadoop并测试   在以上的4个步骤当中,最需要值得重视的是第2步,一定要设置正确,否则会产生很多错误。 另外,由于各个节点之间需要进行通信,就会导致网络防火墙和端口配置等问题,因为是测试环境,所以直接将防火墙关了就行
kubeadm安装K8s高可用集群集群初始化及master/node节点加入calico网络插件安装
诚不我欺的博客
12-16 1788
记录用kubeadm部署搭建keepalive+nginx方式实现高可用集群 kubeadm安装K8s集群集群初始化及master/node节点加入集群calico网络插件安装
K8S集群搭建(多master多node节点)
qq_15290209的博客
03-13 5463
也可以自己创建kubeadm-config.yaml 文件,我这里选择自己创建kubeadm-config.yaml。集群中的所有机器的网络彼此均能相互连接(公网和内网都可以)节点之中不可以有重复的主机名,CentOS 7.9 每台机器 2 GB 或更多的 RAM内存2 CPU 核或更多。从worker_connections 1024 之后 开始添加。docker 版本 v20.10.2。通过分析得知,根本原因:Token信息过期。k8s 版本 v1.23.6。但是,执行过程中出现了。
servicecomb-service-center简介
TSIYAO11的专栏
01-03 2012
apache servicecomb-service-center简介
Apache ServiceComb Saga使用说明
01-19
简要说明Apache ServiceComb Saga分布式事务一致性框架的架构组成、基本工作原理及使用
janus-alpha:使用Spring Boot的微服务
05-06
该项目旨在成为一个沙箱,以演示使用Spring Boot和Docker的微服务架构。 该示例是人为设计的,句子服务依赖于名词服务和形容词服务来构建描述“下一件大事”的句子。 要求 要求(以管理员权限运行): git- Java 8- Maven- Docker- DOCKER_HOST=tcp://<remoteip>:2375可以在本地安装,也可以在设置环境变量DOCKER_HOST=tcp://<remoteip>:2375远程安装 建造 要测试,构建和创建所有服务的Docker映像,请执行以下操作: mvn install 跑步 启动您的Docker映像 cd docker docker-compose up -d 模组 名词服务 REST访问/名词 形容词服务 REST访问/形容词 句子服务 REST服务告诉我们下一件大事! GET /sentence?n
ServiceComb要点笔记
qq_41344109的博客
03-14 419
1.组成部分 服务中心、配置中心、治理中心 2.与springcloud和dubbo对比 (开箱即用,可插拔式的) 集成了分布式事务 服务通信集成了rpc和rest 支持错误的注入 3.设计理念 编程模型–>运行模型–>通信模型 编程模型:provider-springmvc 通信模型:transport-rest-vertx、transport-rest-servlet、transport-highway 运行模型:handler-loadbalance、handler-bizkeeper(服
Hadoop 2.0.5-alpha集群搭建01-搭建前准备事项
技术世界的五彩缤纷
02-22 567
环境 服务器: Centos 6.4 Hadoop: Hadoop 2.0.5-alpha   在我的环境中有5台服务器,其中的一台是Hadoop Master,剩下的4台是Hadoop Slave。   1.准备事项 (1)  安装JDK 使用root用户下载JDK,然后解压到/usr/java目录下。并在/et
ServiceComb数据一致性解决方案Saga演进介绍
qq_16481385的博客
03-31 636
ServiceComb数据一致性解决方案Saga演进介绍 转载https://blog.youkuaiyun.com/dev_csdn/article/details/79852498
分布式事务之servicecomb-pack saga springcloud开发框架接入
哆啦A梦
01-07 927
分布式事物之servicecomb-pack简单原理介绍及接入详情
ServiceComb 开发实战(1) —— Service-Center 安装部署
ch54948054的博客
01-16 6353
ServiceComb 开发实战(1) —— Service-Center 安装部署 一. Service-Center 是什么 Service-Center(SC)是一个服务注册中心。 服务提供者(provider)可以将自身的实例信息注册到 SC,以供服务消费者(consumer)从 SC 发现并使用它。 在传统服务中,一般将 provider 的实例信息配置到指定的配置文件中,以供 cons...
spring boot 事务_体验微服务分布式事务开源框架ServiceComb的Saga TCC模型
weixin_39884100的博客
12-08 355
前言微服务与分步式系统架构里的事务问题一直就是痛点,在高并发与高吞吐下,伴随网络的不确定性,数据很难达到强一致性,业界一直没有完美的解决方案。基于分布式CAP理论,只能选择放弃强一致性,追求可用性,提出柔性事务、最终一致性。微服务等分布式架构中,要实现最终一致性,只能采用事务补偿方式(可能还需要手动补偿)。分布式事务在使用时应该尽量少用或不用,在不得以的情况下。最好定下分布式事务的开发规范来,对开...
如何在ServiceComb中使用zuul做边缘服务
微服务技术与实践专栏
10-24 1231
概念阐述 API Gateway: API Gateway是一个服务器,也可以说是进入系统的唯一节点。API Gateway封装内部系统的架构,并且提供API给各个客户端。 Zuul Zuul是Netflix的基于JVM的路由器和服务器端负载均衡器,可以使用Zuul进行以下操作: 认证 洞察 压力测试 金丝雀测试 动态路由 服务迁移 负载脱落 安全 静态相响应处理 主动...
k8s多主节点集群证书更新
最新发布
04-23
<think>好的,用户的问题是关于如何在Kubernetes多主节点集群中更新证书。我需要先理解用户的具体需求。用户提到的是多主节点集群,这可能涉及到高可用性的配置,证书更新需要考虑到所有主节点,而不仅仅是单个节点。用户可能之前已经部署了多主节点集群,现在遇到了证书过期的问题,或者想要提前更新证书以避免服务中断。 接下来,我需要回忆Kubernetes证书管理的基本知识。Kubernetes使用kubeadm进行集群管理时,证书通常有一年的有效期。证书过期会导致集群组件无法正常通信,因此定期更新或续期非常重要。对于单节点集群,通常可以使用kubeadm alpha certs renew命令,但多主节点的情况会更复杂,因为etcd和其他组件可能分布在多个节点上。 查看用户提供的引用,特别是引用[3]提到了CA证书过期的解决方案,包括备份配置文件、更新admin.conf以及修改权限。这可能是一个关键点,因为多主节点可能需要每个节点都进行类似的操作。此外,引用[2]讨论了多Master节点的etcd配置,这提示在更新证书时需要注意etcd集群的配置,确保所有节点间的通信正常。 用户的需求是具体的教程或解决方案,所以需要分步骤说明。首先,需要检查证书的过期时间,确定哪些证书需要更新。然后,备份现有证书和配置文件,防止更新过程中出现问题。接下来,在每个主节点上更新证书,这可能包括使用kubeadm命令续期,并确保所有节点的配置文件同步更新。此外,还需要处理etcd的证书,因为etcd在多主节点集群中通常也是多实例部署的,每个etcd节点的证书都需要更新,并且配置文件中需要正确反映集群成员的信息。 另外,引用[2]中的例子提到修改etcd.yaml文件中的--initial-cluster参数,这说明在更新证书后可能需要调整etcd的配置,确保所有节点能够识别彼此的新证书。同时,引用[3]中的步骤包括更新kubectl配置,这也需要在每个主节点上执行,确保kubectl使用新的证书和配置文件。 需要注意的是,多主节点集群的证书更新需要按照一定的顺序进行,可能先更新一个主节点,确认无误后再处理其他节点,避免同时操作导致集群不可用。此外,etcd作为关键组件,其证书更新需要特别小心,防止集群数据不一致或通信失败。 最后,用户可能需要验证证书更新后的集群状态,包括检查各个组件的日志,确认没有证书相关的错误,并测试集群的基本功能是否正常。可能还需要更新工作节点上的证书,确保kubelet等组件也能正常通信。根据引用[5],kubeadm join命令中的token和CA证书哈希可能需要更新,因此如果有新节点加入,也需要考虑这部分的影响。 总结步骤大致为:检查证书过期情况→备份→更新每个主节点的证书→处理etcd配置→更新kubeconfig→重启组件→验证。需要详细说明每个步骤的具体操作,特别是多主节点环境下的注意事项,比如确保所有节点的证书同步,配置文件的一致性等。</think>在Kubernetes多主节点集群中更新证书需要谨慎操作,以下是分步骤的解决方案: ### 一、证书更新原理 Kubernetes集群证书默认有效期为1年,多主节点环境下需对所有控制平面组件(kube-apiserver、etcd等)进行同步更新。核心操作包括: 1. 更新CA证书和签名证书 2. 同步所有主节点的配置文件 3. 保持etcd集群一致性[^3] ### 二、具体操作步骤 #### 1. 检查证书过期时间 在所有主节点执行: ```bash kubeadm alpha certs check-expiration ``` 输出示例: ``` CERTIFICATE EXPIRES RESIDUAL TIME admin.conf Dec 30, 2024 08:23 UTC 364d apiserver Dec 30, 2024 08:23 UTC 364d ``` #### 2. 备份关键文件 ```bash mkdir /etc/kubernetes/backup cp -rp /etc/kubernetes/pki /etc/kubernetes/backup cp -rp /etc/kubernetes/admin.conf /etc/kubernetes/backup ``` #### 3. 更新证书(逐个节点操作) **在第一个主节点:** ```bash kubeadm alpha certs renew all \cp /etc/kubernetes/admin.conf $HOME/.kube/config chown $(id -u):$(id -g) $HOME/.kube/config ``` **关键配置文件修改(以master01为例):** ```yaml # /etc/kubernetes/manifests/etcd.yaml spec: containers: - command: - etcd - --initial-cluster=master01=https://192.168.116.141:2380,master02=https://192.168.116.142:2380 - --cert-file=/etc/kubernetes/pki/etcd/server.crt # 确保指向新证书 - --key-file=/etc/kubernetes/pki/etcd/server.key ``` #### 4. 同步到其他主节点 ```bash # 将更新后的pki目录复制到其他主节点 for node in master02 master03; do rsync -avz /etc/kubernetes/pki/ ${node}:/etc/kubernetes/pki/ rsync -avz /etc/kubernetes/admin.conf ${node}:/etc/kubernetes/ done ``` #### 5. 重启组件 ```bash systemctl restart kubelet docker ps | grep -E "k8s_kube-apiserver|k8s_kube-controller-manager" | awk '{print $1}' | xargs docker restart ``` ### 三、验证更新结果 1. 检查新证书有效期: ```bash openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text | grep Not ``` 2. 检查集群状态: ```bash kubectl get nodes kubectl get componentstatuses ``` ### 四、注意事项 1. 建议采用滚动更新方式,逐个节点操作 2. 确保所有主节点的/etc/hosts文件包含正确的节点解析 3. 如果使用外部etcd集群,需要单独处理etcd证书[^2] 4. 工作节点需同步更新CA证书: ```bash kubeadm init phase upload-certs --upload-certs ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值