【问题标题】:Renewing Kubernetes cluster certificates更新 Kubernetes 集群证书
【发布时间】:2019-12-16 00:15:47
【问题描述】:

我们目前在 Kubernetes v1.13.4 上有 2 个 Master 2 Worker 节点集群。由于位于 /var/lib/kubelet/pki/kubelet.crt 的 kubelet 证书已过期且 kubelet 服务未运行,因此集群已关闭。在检查 kubelet 日志时,我收到以下错误

E0808 09:49:35.126533 55154 bootstrap.go:209] 部分现有引导客户端证书已过期:2019-08-06 22:39:23 +0000 UTC

以下证书ca.crtapiserver-kubelet-client.crt 有效。我们无法使用 kubeadm-config.yaml 手动更新 kubelet.crt 证书。谁能提供更新证书的步骤。

我们尝试设置 --rotate-certificates 属性并使用 kubeadm-config.yaml 但由于我们使用的是 v1.13.4 kubeadm --config 标志 不是呈现

在检查 kubelet 日志时,我收到以下错误

E0808 09:49:35.126533 55154 bootstrap.go:209] 部分现有引导客户端证书已过期:2019-08-06 22:39:23 +0000 UTC

【问题讨论】:

    标签: kubernetes certificate kubelet


    【解决方案1】:

    正如你所说,只有kubelet.crt已经过期,apiserver-kubelet-client.crt是有效的,你可以尝试基于documentation通过命令kubeadm alpha certs renew更新。

    更新 kubeadm 证书的第二种方法是升级版本,如 this article

    您也可以尝试使用kubeadm init phase certs all。在this * 案例中进行了解释。

    如果有帮助,请告诉我。如果不提供更多信息和更多日志。

    【讨论】: