我们目前在生产环境中的 GKE 1.15 上运行 cert-manager 0.10。如何升级到当前的 1.0 而不出现“停机”(即丢失证书)?
我可以卸载 cert-manager(不删除证书)然后只安装 1.0 吗?1.0 是否与旧的 certmanager.k8s.io API 命名空间具有向后兼容性,因此现有证书仍可被识别(并最终被替换)?
或者我必须经历每个中间版本(0.11、0.12、0.13、0.14、0.15、0.16、1.0)并执行每个特定的升级说明。升级篇在 cert-manager 站点上显示了每个版本之间的一些相当复杂的步骤,特别是 API 命名空间从 0.10 到 0.11 的变化建议在安装 0.11 CRD 和清单之前卸载 cert-manager。
答案1
我们目前在生产环境中的 GKE 1.15 上运行 cert-manager 0.10。如何升级到当前的 1.0 而不出现“停机”(即丢失证书)?
当前 GKE 版本默认为1.16.13-gke.401,如果您想更改证书,您也可以考虑升级 GKE 版本(如果可能)。在进行任何更改之前,最好备份您的证书。在证书管理器文档。
我可以卸载 cert-manager(不删除证书)然后只安装 1.0 吗?1.0 是否与旧的 certmanager.k8s.io API 命名空间具有向后兼容性,因此现有证书仍可被识别(并最终被替换)?
0.10 和 1.0Cert-Manager版本之间有一些变化。对于0.10 to 0.11 注释更改。正如文档中提到的,在从 0.10 升级到 0.11 之前,您必须更改配置格式:
我们还删除了对 v0.8 版本中已弃用的旧配置格式的支持。这意味着在升级到 v0.11 之前,您必须过渡到使用新的求解器样式配置格式来配置您的 ACME 发行器。
另外还有信息:
您必须确保正确备份、卸载、重新安装和恢复您的安装,以确保升级成功。
也介于0.14 至 0.15版本,引入了重大变化,新的关键文献。
如果版本之间没有重大变化,则可以在几个版本的范围内进行升级,例如本文- v0.4 至 v0.7.2。但是较新的版本引入了新功能或配置更改,例如:
v0.10 至 v0.11:在升级到 v0.11 之前,必须先升级 ACME 发行者和证书。此外,注释更改也反映了新的 API。
v0.12 到 v0.3:无需特殊升级步骤!
v0.11 至 v0.12: 删除 webhook API 服务
我认为有 3 个选择:
- 逐个升级(应用新功能并在每个版本中验证是否正常运行)。
- 从 0.10 升级到 1.0,但这些版本之间的所有配置更改都需要进行调整。
- 从头开始配置您的 Cert-Manager 的最新版本。