K8s更新证书-pingshunbobo-ChinaUnix博客

花开花落谁家

首页　| 　博文目录　| 　关于我

pingshunbobo

博客访问： 437324
博文数量： 58
博客积分： 0
博客等级：民兵
技术积分： 623
用户组：普通用户
注册时间： 2013-04-26 18:48

个人简介

在生存面前，那纯洁的理想，原来是那么脆弱不堪！

文章分类

全部博文（58）

IAAS云平台（3）
网络存储（3）
Android（1）
管理脚本（4）
存储（2）
系统工具（15）
网络工具（9）
网络安全（7）
unix高级编程（1）
代码工具（3）
HTTP/web（4）
linux内核（1）
嵌入式入门（3）
起步点滴（2）
未分配的博文（0）

文章存档

2022年（1）

2021年（1）

2019年（3）

2018年（6）

2017年（6）

2016年（14）

2015年（10）

2014年（16）

2013年（1）

我的朋友

相关博文

K8s更新证书

分类：虚拟化

2019-07-12 22:05:09

使用kubeadm安装的k8s集群，自动生成的集群内部认证证书，在一年后过期，所有核心组件无法z正常工作，这里记录一下更新证书方法。
1,备份原有文件：

mv /etc/kubernetes/pki/apiserver.crt /etc/kubernetes/pki/apiserver.crt.old
mv /etc/kubernetes/pki/apiserver.key /etc/kubernetes/pki/apiserver.key.old
mv /etc/kubernetes/pki/apiserver-kubelet-client.crt /etc/kubernetes/pki/apiserver-kubelet-client.crt.old
mv /etc/kubernetes/pki/apiserver-kubelet-client.key /etc/kubernetes/pki/apiserver-kubelet-client.key.old
#mv /etc/kubernetes/pki/ca.crt /etc/kubernetes/pki/ca.crt.old
#mv /etc/kubernetes/pki/ca.key /etc/kubernetes/pki/ca.key.old
#mv /etc/kubernetes/pki/front-proxy-ca.crt /etc/kubernetes/pki/front-proxy-ca.crt.old
#mv /etc/kubernetes/pki/front-proxy-ca.key /etc/kubernetes/pki/front-proxy-ca.key.old
mv /etc/kubernetes/pki/front-proxy-client.crt /etc/kubernetes/pki/front-proxy-client.crt.old
mv /etc/kubernetes/pki/front-proxy-client.key /etc/kubernetes/pki/front-proxy-client.key.old
#mv /etc/kubernetes/pki/sa.key /etc/kubernetes/pki/sa.key.old
#mv /etc/kubernetes/pki/sa.pub /etc/kubernetes/pki/sa.pub.old

2，生产新证书：（kubeadm需要连接google服务器，这里用了pptp拨号才出去）

kubeadm alpha phase certs apiserver --apiserver-advertise-address 192.168.73.131 --apiserver-cert-extra-sans 192.168.73.143 --apiserver-cert-extra-sans 192.168.73.144 --apiserver-cert-extra-sans 192.168.73.145 --apiserver-cert-extra-sans k8s143 --apiserver-cert-extra-sans k8s144 --apiserver-cert-extra-sans k8s145 #143，144，145主机组成管理多活集群，131是浮动地址
kubeadm alpha phase certs apiserver-kubelet-client
kubeadm alpha phase certs front-proxy-client

3，备份旧配置文件：

mv /etc/kubernetes/admin.conf /etc/kubernetes/admin.conf.old
mv /etc/kubernetes/kubelet.conf /etc/kubernetes/kubelet.conf.old
mv /etc/kubernetes/controller-manager.conf /etc/kubernetes/controller-manager.conf.old
mv /etc/kubernetes/scheduler.conf /etc/kubernetes/scheduler.conf.old

4，生成新的配置文件：

kubeadm alpha phase kubeconfig all --apiserver-advertise-address 192.168.73.131
同步配置文件：
scp admin.conf k8s144:/etc/kubernetes/
scp controller-manager.conf k8s144:/etc/kubernetes/
scp kubelet.conf k8s144:/etc/kubernetes/
scp scheduler.conf k8s144:/etc/kubernetes/

scp /etc/kubernetes/admin.conf k8s145:/etc/kubernetes/
scp /etc/kubernetes/controller-manager.conf k8s145:/etc/kubernetes/
scp /etc/kubernetes/kubelet.conf k8s145:/etc/kubernetes/
scp /etc/kubernetes/scheduler.conf k8s145:/etc/kubernetes/

scp /etc/kubernetes/apiserver* k8s144:/etc/kubernetes/
scp /etc/kubernetes/front-proxy-client.* k8s144:/etc/kubernetes/

scp /etc/kubernetes/apiserver* k8s145:/etc/kubernetes/
scp /etc/kubernetes/front-proxy-client.* k8s145:/etc/kubernetes/

5, 重启服务：
在每个管理节点，列出kube-apiserver，kube-controller-manager, kube-scheduler 容器的id；
依次重启；

6，kubelet使用的/var/lib/kubelet/pki/kubelet/目录下的client证书，可以任意删除，启动自动重新获取；

7，更新kubectl 配置文件

cd ~/.kube/
cat /etc/kubernetes/admin.conf > ./config

8，查看集群状态

kubectl get node
kubectl get po --all-namespaces

9，补充：
/etc/kubernetes/pki/etcd/下的证书，在三个管理节点，内容是不同的；
9.1 直接更新：kubeadm certs renew etcd-apiserver
kubeadm certs renew etcd-peer
kubeadm certs renew etcd-healthcheck-client
9.2 如果不小心覆盖掉了，要先删除通过以下命令重新生成。
rm -rf etcd-peer*
rm -rf apiserver*
rm -rf healthcheck-client *

kubeadm init phase certs etcd-peer
kubeadm init phase certs etcd-server
kubeadm init phase certs etcd-healthcheck-client

阅读(4520) | 评论(0) | 转发(0) |

上一篇：Ubuntu16.04 安装mariadb-10.3.10

下一篇：Xshell SSH远程登录提示“找不到匹配的keyexchange算法”

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6