我已经使用 etcdadm 工具etcdctl version: 3.4.7为我的 Kubernetes集群部署了 3 节点外部 ETCD 数据库 ( ) 集群。v1.18.6我的证书将在几个月后到期。
我相信kubeadm alpha certs renew all命令会更新 Kubernetes 证书。请问知道更新外部ETCD数据库集群证书的正确步骤吗?
我的集群证书详细信息
# kubeadm alpha certs check-expiration
CERTIFICATE EXPIRES RESIDUAL TIME CERTIFICATE AUTHORITY EXTERNALLY MANAGED
admin.conf Jul 20, 2021 14:13 UTC 152d no
apiserver Jul 20, 2021 14:13 UTC 152d ca no
apiserver-kubelet-client Jul 20, 2021 14:13 UTC 152d ca no
controller-manager.conf Jul 20, 2021 14:13 UTC 152d no
front-proxy-client Jul 20, 2021 14:13 UTC 152d front-proxy-ca no
scheduler.conf Jul 20, 2021 14:13 UTC 152d no
CERTIFICATE AUTHORITY EXPIRES RESIDUAL TIME EXTERNALLY MANAGED
ca Apr 17, 2030 01:19 UTC 9y no
front-proxy-ca Apr 17, 2030 01:19 UTC 9y no
主节点证书详细信息
/etc/kubernetes/pki/ca.crt, Apr 17 01:19:52 2030 GMT
/etc/kubernetes/pki/apiserver.crt, Jul 20 14:13:09 2021 GMT
/etc/kubernetes/pki/apiserver-kubelet-client.crt, Jul 20 14:13:10 2021 GMT
/etc/kubernetes/pki/front-proxy-ca.crt, Apr 17 01:19:52 2030 GMT
/etc/kubernetes/pki/front-proxy-client.crt, Jul 20 14:13:10 2021 GMT
/etc/etcd/pki/ca.crt, Apr 17 01:19:35 2030 GMT
/etc/etcd/pki/server.crt, Apr 19 01:19:36 2021 GMT
/etc/etcd/pki/peer.crt, Apr 19 01:19:36 2021 GMT
/etc/etcd/pki/etcdctl-etcd-client.crt, Apr 19 01:19:36 2021 GMT
/etc/etcd/pki/apiserver-etcd-client.crt, Apr 19 01:19:36 2021 GMT
谢谢
我使用这些步骤更新了 kubernets cluster 上的证书
v1.18.6。编译
etcdadmcert 分支代码将文件复制
etcdadm-cert到所有三个服务器。更新第一个主人的证书
/opt/bin/etcdadm-cert 证书更新 kubeadm alpha 证书更新所有
重启第一台主机
检查 etcd 成员和 kubernetes 证书过期数据
在其他主节点上重复步骤 2 到 5
使用这些命令来验证
谢谢