kubeadm 安装的集群证书更新
kubelet 证书更新
方式一
所有的worker 的kubelet 节点重新加入集群,kubeadm join ...
方式二
试用版本v1.18 以上
配置kubelet自动更新证书,参考为 kubelet 配置证书轮换 | Kubernetes
kubelet
进程接收 --rotate-certificates
参数,该参数决定 kubelet 在当前使用的 证书即将到期时,是否会自动申请新的证书
查看配置/var/lib/kubelet/config.yaml ,是否启用参数
控制器端配置
kube-controller-manager
进程接收 --cluster-signing-duration
参数 (在 1.19 版本之前为 --experimental-cluster-signing-duration
),用来 控制签发证书的有效期限,例如配置为5年,当然此配置可以不添加,默认就是1年有效期。
vi /etc/kubernetes/manifests/kube-controller-manager.yaml
证书更新规律
kubelet会在证书到期临近时间的10-30%期间更新,如果已经到期了,配置了上述自动更新可以重启强制更新。