Kubernetes社区每4个月左右发布一个次要版本,次要版本的支持周期通常为一年。
Kubernetes社区官方推荐使用kubeadm或者手动进行集群的更新。实际生产中,为了保证更大限度的不影响生产环境,手动进行集群更新是更为稳妥的方案。
手动进行集群更新简要来说就是迁移当前的业务及所需插件到新的集群上面。
导出业务资源
如下图所示,业务中的各项k8s资源依赖关系大体如下,因此实际迁移时我们也需要按此以来关系从下往上导入到新的k8s集群中:

导出命令
导出时以命名空间(namespace)为单位,进行导出。假设我们需要导出my-namespace这样一个命名空间。
在旧集群上执行:
bash
kubectl get secrets -n my-namespace -o yaml > my-namespace-secrets.yaml;\
kubectl get configmaps -n my-namespace -o yaml > my-namespace-configmaps.yaml;\
kubectl get deployments -n my-namespace -o yaml > my-namespace-deployments.yaml;\
kubectl get services -n my-namespace -o yaml > my-namespace-services.yaml;\
kubectl get ingress -n my-namespace -o yaml > my-namespace-ingress.yaml;\
导入业务资源
新集群准备好之后,在新集群上使用以下命令进行导入:
bash
kubectl create -f my-namespace-secrets.yaml;\
kubectl create -f my-namespace-configmaps.yaml;\
kubectl create -f my-namespace-deployments.yaml;\
kubectl create -f my-namespace-services.yaml;\
kubectl create -f my-namespace-ingress.yaml;\
此时主要观察Deployments上的所有业务是否正常拉取镜像,创建pod,pod是否正常执行。
插件导入
通常来说不建议k8s插件使用导出再导入的方式进行迁移,实际生产中也容易遇到各种各样的问题。
更为稳妥的方案是在新集群上安装插件,然后导入相关配置(如果需要,很多时候业务的资源文件中已经绑定了插件的配置,无需再导入。插件安装完成后会自动响应)。
CertManager
以CertManager为例,CertManager的配置通常是在业务的ingress中指示CertManager进行证书签发,因此迁移CertManager只需要在新集群上安装CertManager即可。
在新集群上执行:
bash
kubectl apply -f https://github.com/cert-manager/cert-manager/releases/latest/download/cert-manager.yaml
执行以下命令创建ClusterIssuer:
bash
cat <<EOF | kubectl apply -f -
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
name: letsencrypt-prod-http01
spec:
acme:
server: https://acme-v02.api.letsencrypt.org/directory
email: <your_email_name@gmail.com> # 替换为您的邮箱名。
privateKeySecretRef:
name: letsencrypt-http01
solvers:
- http01:
ingress:
class: nginx
EOF
至此完成CertManager的迁移。
对外切换
完成以上业务和插件的迁移并且业务运行正常,我们就可以进行对外的切换,即将对外的接口由旧集群迁移到新集群上。
若是Ingress绑定负载均衡,将业务域名的DNS解析切换成新负载均衡的IP即可;
若是其他服务器进行反向代理,将反向代理的上游地址切换为新集群的ClusterIP即可。 至此完成Kubernetes的整体迁移。