如题所述
第1个回答 2022-07-25
说起来,都是泪,从三年前和这个问题作斗争,证书过期和自动续期这个大问题,始终是一个心头的伤。
现在要想到一刀切的方案,还是自己更改Kubeadm源码,全部改成100年,最洒脱。
但,如果线上已运行了这些东东,且是10年1年证书过期的都有,那啷个弄嘛?
先用如下命令,看看k8s的哪些证书何时到期
输出pki下的证书情况:
输出/etc/kubernetes下的证书情况
cp -R /etc/kubernetes /etc/kubernetes$(date "+%Y%m%d")
又或者一条命令搞定
kubeadm init phase kubeconfig all
这里有个注意的细节,在使用kubeadm命令之前,它会到外网查找此K8s集群的版本信息,如果我们的机器是纯企业内网,不能访问外面,这里就会卡住。
BUT,还是可以离线进行的。
先从本集群生成一个config view类型文件。
kubeadm config view > kubeadm.conf
然后,在之后生成证书时,加上这个文件作为--config参数即可。如
kubeadm alpha phase kubeconfig scheduler --config kubeadm.conf
(上面是kueadm 1.10版本的命令,新版本已从alpha转正式命令,-h可找出来)
如果生疏了,可能看看help命令
1,仍然先备份哟,备份使得万年船~~
cp -R /etc/kubernetes /etc/kubernetes$(date "+%Y%m%d")
2,先将要过期的证书作更名
3,生成k8s的config view,然后使用kubeadm生成新的证书对
4,依次升级完其它几个要过期的证书,包括与etcd连接的证书对。
5,注意,有三个根证书对,是20年过期的,我没有更新(关键我不清楚更新之后,会发生什么事)。
6,根据不同版本,查看证书过期的命令还不一样呢,最好再作个重复记录。
查看/etc/kubernetes/pki目录证书过期
查看/etc/kubernetes/目录下的几个conf里的证书过期
现在要想到一刀切的方案,还是自己更改Kubeadm源码,全部改成100年,最洒脱。
但,如果线上已运行了这些东东,且是10年1年证书过期的都有,那啷个弄嘛?
先用如下命令,看看k8s的哪些证书何时到期
输出pki下的证书情况:
输出/etc/kubernetes下的证书情况
cp -R /etc/kubernetes /etc/kubernetes$(date "+%Y%m%d")
又或者一条命令搞定
kubeadm init phase kubeconfig all
这里有个注意的细节,在使用kubeadm命令之前,它会到外网查找此K8s集群的版本信息,如果我们的机器是纯企业内网,不能访问外面,这里就会卡住。
BUT,还是可以离线进行的。
先从本集群生成一个config view类型文件。
kubeadm config view > kubeadm.conf
然后,在之后生成证书时,加上这个文件作为--config参数即可。如
kubeadm alpha phase kubeconfig scheduler --config kubeadm.conf
(上面是kueadm 1.10版本的命令,新版本已从alpha转正式命令,-h可找出来)
如果生疏了,可能看看help命令
1,仍然先备份哟,备份使得万年船~~
cp -R /etc/kubernetes /etc/kubernetes$(date "+%Y%m%d")
2,先将要过期的证书作更名
3,生成k8s的config view,然后使用kubeadm生成新的证书对
4,依次升级完其它几个要过期的证书,包括与etcd连接的证书对。
5,注意,有三个根证书对,是20年过期的,我没有更新(关键我不清楚更新之后,会发生什么事)。
6,根据不同版本,查看证书过期的命令还不一样呢,最好再作个重复记录。
查看/etc/kubernetes/pki目录证书过期
查看/etc/kubernetes/目录下的几个conf里的证书过期