kubeadm替换证书

替换原有的kubeadm的原始的1年的ca证书
--思路,重新编译kubernetes,使用kubeadm重新生成证书
1.查看kubeadm的版本

kubeadm alpha certs check-expiration

2.下载kubernetes的源码

git clone https://github.com/kubernetes/kubernetes.git

3.切换到对应的版本分支

查看具体的版本
kubectl get no  #我这里时1.16.2的

切换
git checkout -b test v1.16.2

4.修改kubernetes自带的kubeadm的过期时间

cd $k8s-dir

vim cmd/kubeadm/app/constants/constants.go  #找到CertificateValidity ,修改如下
     CertificateValidity = time.Hour * 24 * 365 * 100 #后面加上* 100

5.配置go环境 --根据K8S版本不同。需要的go环境也不一样,根据实际情况

wget https://studygolang.com/dl/golang/go1.12.4.linux-amd64.tar.gz
tar zxvf go1.11.2.linux-amd64.tar.gz  -C /usr/local

6.配置go环境

vim /etc/profile
export GOROOT=/usr/local/go
export GOPATH=/usr/local/gopath
export PATH=$PATH:$GOROOT/bin

source /etc/profile

go version #验证

7.重新编译

cd $K8S-dir
make WHAT=cmd/kubeadm  #保持网络畅通

8.成功后出现_output文件夹

ls  _output/bin/

conversion-gen  deepcopy-gen  defaulter-gen  go2make  go-bindata  kubeadm  openapi-gen

9.保持现有kubeadm和证书相关

cp /usr/bin/kubeadm{,.bak}
cp -r /etc/kubernetes/pki{,.bak}

10.替换新的kubeadm

cp _output/bin/kubeadm /usr/bin/kubeadm

11.生成新的证书

cd /etc/kubernetes/pki
kubeadm alpha certs renew all  #此时查看证书,都已经时最新的证书了

12.验证结果

13.验证集群是否正常-如不正常,恢复备份.bak

posted @ 2021-06-22 17:43  大葱丁  阅读(404)  评论(0编辑  收藏  举报