kubeadm 安装的集群证书更新

kubelet 证书更新

方式一

所有的worker 的kubelet 节点重新加入集群，kubeadm join ...

方式二

试用版本v1.18 以上

配置kubelet自动更新证书，参考为 kubelet 配置证书轮换 | Kubernetes

kubelet 进程接收 --rotate-certificates 参数，该参数决定 kubelet 在当前使用的 证书即将到期时，是否会自动申请新的证书

查看配置/var/lib/kubelet/config.yaml ，是否启用参数

 

 

控制器端配置

kube-controller-manager 进程接收 --cluster-signing-duration 参数 （在 1.19 版本之前为 --experimental-cluster-signing-duration），用来 控制签发证书的有效期限，例如配置为5年，当然此配置可以不添加，默认就是1年有效期。

vi /etc/kubernetes/manifests/kube-controller-manager.yaml

 

证书更新规律

kubelet会在证书到期临近时间的10-30%期间更新，如果已经到期了，配置了上述自动更新可以重启强制更新。