前言
上一篇k8s采坑記 - 證書過期之kubeadm重新生成證書闡述了如何使用kubeadm解決k8s證書過期問題。
本篇闡述使用二進制安裝的kubernetes環境,如何升級過期證書?
k8s配置信息的工作目錄一般為
/etc/kubernetes,證書目錄一般為/etc/kubernetes/ssl。
重新生成證書
當你的kubernetes報錯:certificate has expired or is not yet valid,可以通過命令:openssl x509 -in [證書全路徑] -noout -text查看證書詳情。
1. 備份
[root@justmine]# cd /etc/kubernetes;
[root@justmine]# cp kubelet.kubeconfig kubelet.kubeconfig.bak;
[root@justmine]# mkdir sslbak && cp ssl/ sslbak;
2. 清理
[root@justmine]# rm -f kubelet.kubeconfig;
[root@justmine]# rm ssl/kubelet.*;
3. 重啟kubelete
[root@justmine]# systemctl restart kubelet && systemctl status kubelet
4. 使用CSR重新生產證書
[root@justmine]# kubectl get csr
NAME AGE REQUESTOR CONDITION
node-csr-NsKZSz-myrv 11s kubelet-bootstrap Pending
[root@justmine]# kubectl certificate approve node-csr-NsKZSz-myrv
certificatesigningrequest.certificates.k8s.io/node-csr-NsKZSz-myrv approved
備注:CSR授權完成后,kubelete會自動發起CSR請求更新證書。
5. 查看集群狀態
# 大概等待10秒,運行如下命令
[root@justmine]# kubectl get node
最后
如果有什么疑問和見解,歡迎評論區交流。
如果你覺得本篇文章對您有幫助的話,感謝您的【推薦】。
如果你對k8s感興趣的話可以關注我,我會定期的在博客分享我的學習心得。
未經允許,禁止轉載。