kubeadm 部署方式續(xù)簽

1.1 備份原有的證書

cp –r etc/kubernetes/pki  etc/kubernetes/pki.bak

1.2 備份原有的文件

cp  -r /etc/kubernetes/*conf /etc/kubernetes/*conf-old

1.3  先看 下kubeadm 客戶端證書過期時間

kubeadm alpha certs  check-expiration

1.4 更新集群證書：

kubeadm alpha certs  renew all --config=/root/kubeadm.conf

或是

kubeadm alpha certs  renew all --config  /root/kubeadm.conf

1.5 替換老的config文件

cp -f /etc/kubernetes/admin.conf  ~/.kube/config

1.6 配置kube-controller-manager自動頒發(fā)證書

vim /etc/kubernetes/manifests/kube-controller-manager.yaml

[root@k8s-master ~]# vim /etc/kubernetes/manifests/kube-controller-manager.yaml 

  - command:

    - kube-controller-manager

    - --experimental-cluster-signing-duration=87600h0m0s  #10年

    - --feature-gates=RotateKubeletServerCertificate=true

1.7 重啟kube-controller-manager Pod和api-server Pod

1.8 啟用kubelet自動輪換證書

默認(rèn)kubelet證書輪轉(zhuǎn)已啟用：

一臺node 節(jié)點測試，先查看現(xiàn)有客戶端證書有效期

重啟kubelet 組件，他會驗證當(dāng)前證書有效期，并自動從kube-controller-manager 上 進(jìn)行續(xù)簽