kubeadm 部署方式續簽
1.1 備份原有的證書
cp –r etc/kubernetes/pki etc/kubernetes/pki.bak
1.2 備份原有的文件
cp -r /etc/kubernetes/*conf /etc/kubernetes/*conf-old
1.3 先看 下kubeadm 客戶端證書過期時間
kubeadm alpha certs check-expiration
1.4 更新集群證書:
kubeadm alpha certs renew all --config=/root/kubeadm.conf
或是
kubeadm alpha certs renew all --config /root/kubeadm.conf
1.5 替換老的config文件
cp -f /etc/kubernetes/admin.conf ~/.kube/config
1.6 配置kube-controller-manager自動頒發證書
vim /etc/kubernetes/manifests/kube-controller-manager.yaml
[root@k8s-master ~]# vim /etc/kubernetes/manifests/kube-controller-manager.yaml
- command:
- kube-controller-manager
- --experimental-cluster-signing-duration=87600h0m0s #10年
- --feature-gates=RotateKubeletServerCertificate=true
1.7 重啟kube-controller-manager Pod和api-server Pod
1.8 啟用kubelet自動輪換證書
默認kubelet證書輪轉已啟用:
一台node 節點測試,先查看現有客戶端證書有效期
重啟kubelet 組件,他會驗證當前證書有效期,並自動從kube-controller-manager 上 進行續簽