/var/lib/kubelet/pki/kubelet.crt 已过期，如何续订？

我在许多其他论坛上看到过这个问题，最后我找到了适合我自己的解决方案。

首先，我的问题纯粹是由于证书/var/lib/kubelet/pki/kubelet.crt，我可以看到该证书已过期：

echo -n | openssl s_client -connect localhost:10250 2>&1 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | openssl x509 -text -noout | grep -A 2 Validity

或者

sudo openssl x509 -in /var/lib/kubelet/pki/kubelet.crt -text -noout  | grep -A 2 Validity

首先，您需要在 kubelet 中启用--rotate-certificates=true和--rotate-server-certificates=true。就我而言，我使用安装了集群kubeadm，因此我可以编辑/etc/systemd/system/kubelet.service.d/10-kubeadm.conf并将以下内容添加到KUBELET_EXTRA_ARGS：

Environment="KUBELET_EXTRA_ARGS=--rotate-certificates=true --rotate-server-certificates=true --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"

一般来说，只是将这些标志添加到 kubelet 执行中/usr/bin/kubelet --rotate-certificates=true --rotate-server-certificates=true。

然后，重新加载并重新启动 kubelet：

sudo systemctl daemon-reload
sudo service kubelet restart

重启后，看到类似的信息14114 log.go:172] http: TLS handshake error from 20.0.0.13:57738: no serving certificate available for the kubelet，表示需要添加并批准证书。

其次，我们需要获得csrkubernetes 的批准（这是我以前从未关注过的东西……）：

kubectl get csr

那里会看到等待批准的证书，所以只需批准即可：

kubectl certificate approve csr-dlcf6

现在，您的集群应该已更新服务器 kubelet 证书。要再次验证：

echo -n | openssl s_client -connect localhost:10250 2>&1 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | openssl x509 -text -noout | grep -A 2 Validity

一些说明：

• 我们已为客户端和服务器启用了轮换。客户端轮换也是自动证书续订脚本的一部分（https://kubernetes.io/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/）
• 在我们启用轮换后，/var/lib/kubelet/pki/kubelet.crt不再使用，而是使用符号链接/var/lib/kubelet/pki/kubelet-server-current.pem并指向最新的轮换证书。

参考：

• https://kubernetes.io/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/
• https://devopstales.github.io/kubernetes/k8s-cert/
• https://kubernetes.io/docs/tasks/tls/certificate-rotation/
• https://kubernetes.io/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/#kubelet-serving-certs