在现有的 gke 和节点池中启用 "workload identity" 是否有任何停机时间?

Does enabling "workload identity" in an existing gke and nodepool has any downtime?

我似乎没有找到任何文档提到在编辑 gke 集群以激活 workload identity.

时是否会出现任何停机时间

我想知道是否有停机时间

  1. 同时在现有集群中启用它
  2. 同时在现有节点池中启用它

尝试通过反馈联系 gcp 团队 link,但他们建议联系 stackexchange

如果您“照章办事”,那么只需启用 Workload Identity 就不会停机。但是,您必须考虑以下事项:

Workload Identity allows workloads in your GKE clusters to impersonate Identity and Access Management (IAM) service accounts to access Google Cloud services.

当您 enable this feature on a running cluster nothing will actually happen. Only when you add a new node-pool 到此集群时,它将开始使用这种类型的身份验证。现有池中的节点将不受影响。

因此 - 只需启用该功能 - 就不会停机。

不过,

After you enable Workload Identity on an existing cluster, you might want to migrate your running workloads to use Workload Identity. Select the migration strategy that is ideal for your environment. You can create new node pools with Workload Identity enabled, or update existing node pools to enable Workload Identity.

否则您可能会遇到一些停机时间 - 这是第一个例外。

还有一种方法可以“导致停机”。在集群上启用该功能后 - 您可以强制它也为 enabled for existing node-pools。然后您可能会遇到一些停机时间,因为您应该已将您的应用程序配置为使用它,然后将其迁移到新池:

Modifying the node pool immediately enables Workload Identity for any workloads running in the node pool. This prevents the workloads from using the Compute Engine default service account and might result in disruptions.

我们继续尝试了这个

  • 在集群级别启用 workload-identity 会导致控制平面停机(无法编辑集群;但现有工作负载不受影响)

  • 在node-pool级别启用workload-identity重新创建节点(gke自动封锁并重新创建节点