Dapr 默认证书有效时间是1年,证书过期后就不能执行相关控制面和数据面的交互了,如下图:
Dapr 支持使用 Dapr 控制平面、Sentry 服务(中央证书颁发机构 (CA))对 Dapr 实例之间的通信进行传输中加密。
Dapr 允许运维和开发人员引入他们自己的证书,或者让 Dapr 自动创建和保存自签名的根证书和颁发者证书。具体参见
Dapr 在1.7版本引入了一个新的命令:
dapr mtls renew-certificate -k –valid-until
生成全新的根证书和颁发者证书,由新生成的私钥签名。 Dapr sentry service必须重新启动随后的其余控制平面服务才能读取新证书。这可以通过向 --restart命令提供标志来完成。
kubectl rollout restart deploy/dapr-sentry -n
一旦sentry 完全重新启动运行:
kubectl rollout restart deploy/dapr-operator -n
接下来,您必须重新启动所有启用 Dapr 的 pod。推荐的方法是重新启动部署:
kubectl rollout restart deploy/
在成功重新启动所有部署(并因此加载新的 Dapr 证书)之前,由于证书不匹配,您将经历潜在的停机时间。
从 1.7.0 版开始,作为提醒您即将到来的证书到期的附加工具,CLI 现在会在您与基于 Kubernetes 的部署交互时打印证书到期状态。
Original: https://www.cnblogs.com/shanyou/p/16708058.html
Author: 张善友
Title: Dapr 证书过期了怎么办? 别慌,有救!
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/568695/
转载文章受原作者版权保护。转载请注明原作者出处!