导入证书和KubeConfig

导入工具说明

• 组件及对应导入文件的说明请参考表 组件导入文件说明，详细命令参数请参考表 导入工具参数说明。

  表1 组件导入文件说明

  组件	导入文件类型	导入命令示例	说明
  NodeD	连接K8s的KubeConfig文件	./cert-importer -kubeConfig={kubeFile} -cpt={component}	由于K8s自带的ServerAccount的token文件会挂载到物理机上，有暴露风险，可通过外部导入加密KubeConfig文件替换ServerAccount进行安全加固。
  Resilience-Controller

• 工具支持的操作如表 操作说明。

  表2 操作说明

  操作	说明
  新增	导入KubeConfig等文件。
  更新	导入新的KubeConfig等文件，替换旧的文件。 重新导入后，需要重启业务组件才生效。请提前规划证书的有效期，有效期要匹配产品生命周期，不能过长或者过短，避免业务组件重启导致业务中断。

• 默认情况下，导入成功后，工具会自动删除KubeConfig授权文件，用户可通过-n参数停用自动删除功能。如果不自动删除，用户应妥善保管相关配置文件，如果决定不再使用相关文件，请立即删除，防止意外泄露。
• 导入的文件会被重新加密并存入“/etc/mindx-dl”目录中，具体参考表 集群调度组件证书配置文件表。
• 如果从3.0.RC3及以后版本降级到3.0.RC3之前的旧版本，需在手动删除“/etc/mindx-dl/”目录下的文件后，重新使用旧版cert-importer工具导入。
• 导入工具加密需要系统有足够的熵池（random pool）。如果熵池不够，程序可能阻塞，可以安装haveged组件来进行补熵。

  安装命令可参考：

  • 类似CentOS操作系统执行yum install haveged -y命令进行安装。
  • 类似Ubuntu操作系统执行apt install haveged -y命令进行安装。

导入KubeConfig文件

1. 生成KubeConfig配置文件，从MindXDL-deploy仓库上拉取“createKubeConfig.sh”文件到K8s管理节点，执行以下命令生成各组件的KubeConfig文件。

   bash createKubeConfig.sh  https://<masterIP>:6443 

   如执行上述命令出错，可执行如下命令之后重试。

   unset LD_LIBRARY_PATH

2. 将K8s管理节点“/etc/kubernetes/mindxdl”目录下各组件的Kubeconfig配置文件放置到组件的安装节点任意目录下（如“/etc/kubernetes/mindxdl”）。
3. 进入各节点组件安装包解压路径，将lib文件夹设置到当前窗口的环境变量LD_LIBRARY_PATH中，不需要持久化或继承给其他用户（证书导入工具需要配置自带的加密组件相关的so包路径）。

   export LD_LIBRARY_PATH=${LD_LIBRARY_PATH}:`pwd`/lib/

4. 在各节点导入各组件的KubeConfig配置文件参考命令如下，详细命令参数请参考表5。

   表3 各组件导入KubeConfig文件命令

   组件	导入KubeConfig文件命令
   NodeD	./cert-importer -kubeConfig=/etc/kubernetes/mindxdl/noded-cfg.conf -cpt=nd
   Resilience-Controller	./cert-importer -kubeConfig=/etc/kubernetes/mindxdl/resilience-controller-cfg.conf -cpt=rc