резонно. Я обычно употребляю термины etcd+controlplane

Господа добрый день. Столкнулся с проблемой протухания сертификатов. Разворачивал через kubespray. Обновил сертификаты через kubeadm:
apiserver
apiserver-kubelet-client
frontproxy-client

Перезапустил kubelet, но он не поднялся с ошибкой:
unable to load bootstrap kubeconfig: stat /etc/kubernetes/bootstrap-kubelet.conf

В интернетах прочитал, что надо обновить admin.conf, но команды в моем kubeadm на обновление именно admin.conf ещё нет. Может кто нибудь подсказать как поступить или чего погуглить? Спасибо заранее

Отчаялся настолько, что решил что будет проще перекатить, чем пытаться обновить сертификат.
Обновлял командой:

kubeadm alpha certs renew apiserver --cert-dir /etc/kubernetes/ssl

https://habr.com/en/company/southbridge/blog/465733/ читал?

Угу вижу

привет подскажите пжл, использую миникуб --kubernetes-version=v1.11.10 .
на деплоймент ошибка:
       0/1 nodes are available: 1 Insufficient cpu.
в ивентах:
         failed to get cpu utilization: unable to get metrics for            resource cpu: no metrics returned from resource metrics API .
в манифесте по ресурсам:  
limits:
             cpu: 600m
             memory: 1G
           requests:
             cpu: 600m
             memory: 1G

Какое слово перевести ? У тебя нет свободных ресурсов.  Ивенты тут про другое

Да спс уже понял. Занимаюсь освобождением ресурсов.

пробовал тестовый кластер из трех мастеров так восстанавливать(через снапшоты) -  работало, причём снапшоты не прям одновременно и в одну секунду   были сделаны . Вроде проблем не было.

свои iptables правила всегда стоят после кубовских, вроде не мешают никак.

До появления podAntiaffinity, раньше это был единственный способ раскидать поды по разным нодам. Видимо до сих пор юзают этот способ

Как они накатываются? А после ребута?

мы уже общались помнишь? У меня puppet. Там помимо того, что можно игнорировать правила  которые не надо менеджить( например правила куба),  также можно порядок указать, если число порядка большое, он в конец его ставит

Сори, перепутал тебя с другим человеком)

В общем, я пришел к тому, что сделал systemd-сервис, который накатывает правила при загрузке.  С кубами и ансиболью, пожалуй это самый годный способ.

iptables_raw не помог, хотя он и крут. Потому что к8с использует ipset, а он его не умеет сохранять, соответственно, при ребуте восстановится хер пойми что если правила ipset изменятся в какой-то момент

а кто у тебя ipset правила генерит в кубе? у меня только kube-router

чем только люди не страдают, лишь бы не отказываться от iptables в кубах

чем предлагаешь заменить?