DevOpsTools/K3S
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
437d0cce3406d03a459444def07b6db619654cec
K3S/roles/k3s-certs/defaults/main.yml
Sergey Antropoff 437d0cce34 refactor: перемещение плейбуков в playbooks/, ротация сертификатов, сохранение ключей локально 
Организация плейбуков:
- все .yml плейбуки перенесены из корня в playbooks/
- Makefile и entrypoint.sh обновлены — все пути с playbooks/ префиксом
- k8s-user.yml переработан: include_tasks → include_role (корректная работа из подкаталога)

Сохранение ключей и kubeconfig локально:
- k8s-user.yml: новый play сохраняет k8s SSH ключи в ./keys/ на машине запуска
- переменная k8s_local_keys_dir: "./keys" (настраивается в group_vars)
- .gitignore: keys/k8s_id_rsa исключён (публичный ключ можно коммитить)
- kubeconfig уже сохранялся роль k3s (k3s_kubeconfig_local_path: "./kubeconfig")

Автоматическая ротация сертификатов K3S (роль k3s-certs):
- K3S выпускает сертификаты на 1 год (hardcoded), таймер обеспечивает их обновление
- скрипт k3s-cert-check.sh: проверяет срок через openssl, ротирует при k3s_cert_rotate_before_days
- systemd service + timer: запуск по расписанию k3s_cert_check_schedule (по умолчанию monthly)
- RandomizedDelaySec: снижает нагрузку при одновременном запуске на нескольких нодах
- переменные: k3s_cert_validity_years: 5, k3s_cert_rotate_before_days: 90
- добавлен в site.yml (тег certs) и отдельный плейбук playbooks/k3s-certs.yml
- make k3s-certs и команда k3s-certs в entrypoint.sh
2026-04-24 07:00:18 +03:00

24 lines
1.4 KiB
YAML
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

---
# ─── k3s-certs — управление сертификатами K3S ────────────────────────────────
# Включить автоматическую ротацию сертификатов
k3s_cert_auto_rotate: true
# Желаемый срок жизни кластера без ручного вмешательства (в годах)
# Используется как справочная величина в логах и документации.
# Фактическое время жизни одного сертификата в K3S — 1 год (hardcoded).
# Для обеспечения этого срока systemd таймер автоматически обновляет
# сертификаты до их истечения.
k3s_cert_validity_years: 5
# За сколько дней до истечения сертификата запускать ротацию
k3s_cert_rotate_before_days: 90
# Расписание проверки (формат systemd OnCalendar)
# По умолчанию — первого числа каждого месяца в 03:00
k3s_cert_check_schedule: "monthly"
# Случайная задержка запуска (в секундах) — снижает нагрузку на кластер
# при одновременном запуске таймера на нескольких нодах
k3s_cert_check_randomized_delay: "3600"
Reference in New Issue View Git Blame Copy Permalink