OpenShift节点kubelet证书过期异常的解决步骤

Posted 2023-04-14

参考技术A 环境：OpenShift 3.10 or 3.11
问题:

步骤：

或者

Manually recreate OpenShift Node TLS bootstrapped certificates and kubeconfig files.

如何安全，完整地更新k8s证书？

如何更新k8s证书：

k8s群集中的某些证书​​目前已过期，提示：

无法连接到服务器：x509：证书已过期或尚未生效。看一下在线集群主人。

ca.crt和front-proxy-ca.crt没有过期，但front-proxy-client.crt，apiserver-kubelet-client.crt和apiserver.crt已过期。

因此，手动传递现有的ca.key会在masterapiserver.crt上生成Refer to here。但是，发生了新的错误，表明：

服务器已要求客户端提供凭据

更新k8s群集证书的方法是什么？

谢谢！

答案

最新的kubeadm应该支持this。

预期命令：

renew all
renew apiserver
renew apiserver-kubelet-client
renew apiserver-etcd-client
renew front-proxy-client
renew etcd-server
renew etcd-peer
renew etcd-healthcheck-client

您通常必须查看上面的所有证书，您也可以使用openssl或cfssl手动更新它们并使用/etc/kubernetes/pki/ca.pem中的CA