/var/lib/kubelet/pki/kubelet.crt 已过期,如何续订?

/var/lib/kubelet/pki/kubelet.crt 已过期,如何续订?

集群kubernetes位于 1.21.2 上。kubelet也位于 1.21.2 上

kubelet --version
Kubernetes v1.21.2

kubeadm version
kubeadm version: &version.Info{Major:"1", Minor:"21", GitVersion:"v1.21.2", GitCommit:"092fbfbf53427de67cac1e9fa54aaa09a28371d7", GitTreeState:"clean", BuildDate:"2021-06-16T12:57:56Z", GoVersion:"go1.16.5", Compiler:"gc", Platform:"linux/amd64"}

当我尝试“ kl get no”时出现以下错误

kl get no
error: You must be logged in to the server (Unauthorized)
**Note: kl is alias of kubectl**
I checked my /var/lib/kubelet/pki/kubelet.crt and it was expired.

在 kubelet.crt 中,发行者如下

Subject: CN=aparapu@1591592441
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption

需要帮助更新此 kubelet.crt。

答案1

我在许多其他论坛上看到过这个问题,最后我找到了适合我自己的解决方案。

首先,我的问题纯粹是由于证书/var/lib/kubelet/pki/kubelet.crt,我可以看到该证书已过期:

echo -n | openssl s_client -connect localhost:10250 2>&1 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | openssl x509 -text -noout | grep -A 2 Validity

或者

sudo openssl x509 -in /var/lib/kubelet/pki/kubelet.crt -text -noout  | grep -A 2 Validity

首先,您需要在 kubelet 中启用--rotate-certificates=true--rotate-server-certificates=true。就我而言,我使用安装了集群kubeadm,因此我可以编辑/etc/systemd/system/kubelet.service.d/10-kubeadm.conf并将以下内容添加到KUBELET_EXTRA_ARGS

Environment="KUBELET_EXTRA_ARGS=--rotate-certificates=true --rotate-server-certificates=true --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"

一般来说,只是将这些标志添加到 kubelet 执行中/usr/bin/kubelet --rotate-certificates=true --rotate-server-certificates=true

然后,重新加载并重新启动 kubelet:

sudo systemctl daemon-reload
sudo service kubelet restart

重启后,看到类似的信息14114 log.go:172] http: TLS handshake error from 20.0.0.13:57738: no serving certificate available for the kubelet,表示需要添加并批准证书。

其次,我们需要获得csrkubernetes 的批准(这是我以前从未关注过的东西……):

kubectl get csr

那里会看到等待批准的证书,所以只需批准即可:

kubectl certificate approve csr-dlcf6

现在,您的集群应该已更新服务器 kubelet 证书。要再次验证:

echo -n | openssl s_client -connect localhost:10250 2>&1 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | openssl x509 -text -noout | grep -A 2 Validity

一些说明:

参考:

相关内容