k8s采坑记 - 解决二进制安装环境下证书过期问题

前言

上一篇k8s采坑记 - 证书过期之kubeadm重新生成证书阐述了如何使用kubeadm解决k8s证书过期问题。

本篇阐述使用二进制安装的kubernetes环境，如何升级过期证书？

k8s配置信息的工作目录一般为/etc/kubernetes，证书目录一般为/etc/kubernetes/ssl。

重新生成证书

当你的kubernetes报错：certificate has expired or is not yet valid，可以通过命令：openssl x509 -in [证书全路径] -noout -text查看证书详情。

1. 备份

[root@justmine]# cd /etc/kubernetes;
[root@justmine]# cp kubelet.kubeconfig kubelet.kubeconfig.bak;
[root@justmine]# mkdir sslbak && cp ssl/ sslbak;

2. 清理

[root@justmine]# rm -f kubelet.kubeconfig;
[root@justmine]# rm ssl/kubelet.*;

3. 重启kubelete

[root@justmine]# systemctl  restart kubelet && systemctl  status  kubelet

4. 使用CSR重新生产证书

[root@justmine]# kubectl get csr
NAME                        AGE       REQUESTOR           CONDITION
node-csr-NsKZSz-myrv   11s       kubelet-bootstrap   Pending
[root@justmine]# kubectl certificate approve node-csr-NsKZSz-myrv
certificatesigningrequest.certificates.k8s.io/node-csr-NsKZSz-myrv approved

备注：CSR授权完成后，kubelete会自动发起CSR请求更新证书。

5. 查看集群状态

# 大概等待10秒，运行如下命令
[root@justmine]# kubectl get node

最后

如果有什么疑问和见解，欢迎评论区交流。
如果你觉得本篇文章对您有帮助的话，感谢您的【推荐】。
如果你对k8s感兴趣的话可以关注我，我会定期的在博客分享我的学习心得。
未经允许，禁止转载。