背景:
Kubeadm 默认证书为一年,一年过期后,会导致api service不可用,使用过程中会出现
大脑跟不上运转,我怕我忘了,本次集群版本1.23
1.检查 kubeadm 管理的本地 PKI 中证书的到期时间
[root@master231 ~]# cd /etc/kubernetes/pki/
2.客户端证书存储路径
3.检查 kubeadm 管理的本地 PKI 中证书的到期时间
4.升级master节点的证书
5.再次查看证书时间
- 在master使用kube-controller-manager进行续签证书 把两条追加到后面
[root@worker231 ~]# vim /etc/kubernetes/manifests/kube-controller-manager.yaml
![]()
![]()
8.验证kube-controller-manager是否启动成功。
-
worker节点 kubelet的配置文件中支持证书更新,默认是启用的,无需配置
[root@worker232 ~]# vim /var/lib/kubelet/config.yaml
...
rotateCertificates: true
![]()
-
模拟客户端过期
略
11.验证是否正常
删除CNI网络插件的pod
例:
kubectl get pods -o wide -n calico-system
kubectl get pods -o wide -n calico-apiserver
kubectl -n calico-apiserver delete pods --all
kubectl get pods -o wide -n calico-apiserver
浙公网安备 33010602011771号