集群kubernetes
位于 1.21.2 上。kubelet
也位于 1.21.2 上
kubelet --version
Kubernetes v1.21.2
kubeadm version
kubeadm version: &version.Info{Major:"1", Minor:"21", GitVersion:"v1.21.2", GitCommit:"092fbfbf53427de67cac1e9fa54aaa09a28371d7", GitTreeState:"clean", BuildDate:"2021-06-16T12:57:56Z", GoVersion:"go1.16.5", Compiler:"gc", Platform:"linux/amd64"}
当我尝试“ kl get no
”时出现以下错误
kl get no
error: You must be logged in to the server (Unauthorized)
**Note: kl is alias of kubectl**
I checked my /var/lib/kubelet/pki/kubelet.crt and it was expired.
在 kubelet.crt 中,发行者如下
Subject: CN=aparapu@1591592441
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
需要帮助更新此 kubelet.crt。
答案1
我在许多其他论坛上看到过这个问题,最后我找到了适合我自己的解决方案。
首先,我的问题纯粹是由于证书/var/lib/kubelet/pki/kubelet.crt
,我可以看到该证书已过期:
echo -n | openssl s_client -connect localhost:10250 2>&1 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | openssl x509 -text -noout | grep -A 2 Validity
或者
sudo openssl x509 -in /var/lib/kubelet/pki/kubelet.crt -text -noout | grep -A 2 Validity
首先,您需要在 kubelet 中启用--rotate-certificates=true
和--rotate-server-certificates=true
。就我而言,我使用安装了集群kubeadm
,因此我可以编辑/etc/systemd/system/kubelet.service.d/10-kubeadm.conf
并将以下内容添加到KUBELET_EXTRA_ARGS
:
Environment="KUBELET_EXTRA_ARGS=--rotate-certificates=true --rotate-server-certificates=true --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
一般来说,只是将这些标志添加到 kubelet 执行中/usr/bin/kubelet --rotate-certificates=true --rotate-server-certificates=true
。
然后,重新加载并重新启动 kubelet:
sudo systemctl daemon-reload
sudo service kubelet restart
重启后,看到类似的信息14114 log.go:172] http: TLS handshake error from 20.0.0.13:57738: no serving certificate available for the kubelet
,表示需要添加并批准证书。
其次,我们需要获得csr
kubernetes 的批准(这是我以前从未关注过的东西……):
kubectl get csr
那里会看到等待批准的证书,所以只需批准即可:
kubectl certificate approve csr-dlcf6
现在,您的集群应该已更新服务器 kubelet 证书。要再次验证:
echo -n | openssl s_client -connect localhost:10250 2>&1 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | openssl x509 -text -noout | grep -A 2 Validity
一些说明:
- 我们已为客户端和服务器启用了轮换。客户端轮换也是自动证书续订脚本的一部分(https://kubernetes.io/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/)
- 在我们启用轮换后,
/var/lib/kubelet/pki/kubelet.crt
不再使用,而是使用符号链接/var/lib/kubelet/pki/kubelet-server-current.pem
并指向最新的轮换证书。
参考: