k8s证书有效期时间修改的方法详解
目录
- 前提
- 更改有效期
- 集群中有应用运行的情况
- 检查证书有效期
- 总结
修改后的集群时间,10年的时间,够集群平稳运行一段时间了。
刚部署好k8s的master集群时,查看证书有效期,时间是1年。一年,说长不长,说短不短。查看目前在运行的应用,都已经运行2年多,这样,1年的有效期就会有问题。
前提
确保资源池的监控信息都正常,如果有应用正在运行,确保应用能正常被访问到,监控信息也能正常被监控到。
更改有效期
大致分两步。
1、 可以先把所有的kubelet的service文件都替换了,然后挨个重启kubelet
2、 controller-manager 一定要先重启备节点,再重启主节点
kubelet证书更新具体步骤(需要root权限)
集群中没有应用运行的情况
a.添加参数
调用下面的命令行修改 kube- controller-manager 组件配置 【所有kube master节点都要修改】
都只是修改完配置文件,systemctl daemon-reload,暂时不重启。
# sed -i '/v=2/i\ --experimental-cluster-signing-duration=87600h0m0s \\' /usr/lib/systemd/system/kube-controller-manager.service # sed -i '/v=2/i\ --feature-gates=RotateKubeletServerCertificate=true \\' /usr/lib/systemd/system/kube-controller-manager.service # systemctl daemon-reload
查看修改后的 kube-controller-manager.service文件
2.修改 kubelet 组件配置 【所有kube-master 和 kube-node节点都要修改】
# sed -i '/v=2/i\ --feature-gates=RotateKubeletServerCertificate=true \\' /usr/lib/systemd/system/kubelet.service # sed -i '/v=2/i\ --feature-gates=RotateKubeletClientCertificate=true \\' /usr/lib/systemd/system/kubelet.service # sed -i '/v=2/i\ --rotate-certificates \\' /usr/lib/systemd/system/kubelet.service # systemctl daemon-reload
查看kubelet.service内容
集群中有应用运行的情况
先重启备kube-controller-manager节点,最后重启主kube-controller-manager节点服务。
# systemctl restart kube-controller-manager
查看当前主kube-controller-manager,
# kubectl get endpoints kube-controller-manager --namespace=kube-system -o yaml
备份删除kubelet证书,重启kubelet服务
# cd /etc/kubernetes/ssl/ # mkdir /home/k8app/ssl.bak # mv kubelet* /home/k8app/ssl.bak # systemctl restart kubelet # systemctl status kubelet.service
确认kubelet启动成功,在master主机k8app用户下
$ kubectl get csr
Approve 状态为pending的csr
# kubectl get csr | grep -i pending | awk '{print $1}' | grep -vi name | xargs kubectl certificate approve #执行完后,再检查下 # kubectl get csr
确认csr为Approved,Issued状态
检查证书有效期
便都是10年有效期了
总结
到此这篇关于k8s证书有效期时间修改的文章就介绍到这了,更多相关k8s证书有效期时间内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!