Jika sertifikat yang digunakan pada node dari klaster Kubernetes telah kedaluwarsa, Anda tidak dapat berkomunikasi dengan server API klaster menggunakan kubectl atau memanggil operasi API. Sertifikat yang kedaluwarsa tidak dapat diperbarui secara otomatis melalui penyebaran template. Untuk memperbarui sertifikat, Anda dapat masuk ke setiap node dan menjalankan perintah docker run.
Perbarui sertifikat kedaluwarsa di setiap node master
Masuk ke node master sebagai pengguna root dan jalankan perintah berikut untuk memperbarui sertifikat di node master:
docker run -it --privileged=true -v /:/alicoud-k8s-host --pid host --net host \
registry.cn-hangzhou.aliyuncs.com/acs/cert-rotate:v1.0.0 /renew/upgrade-k8s.sh --role masterUlangi langkah-langkah sebelumnya di setiap node master klaster untuk memperbarui sertifikat untuk semua node master.
Perbarui sertifikat kedaluwarsa di node pekerja
Masuk ke node master sebagai pengguna root dan jalankan perintah berikut untuk mendapatkan kunci pribadi rootCA klaster:
cat /etc/kubernetes/pki/ca.keyJalankan salah satu perintah berikut untuk mendapatkan kunci pribadi root klaster yang dikodekan dalam format Base64:
Jika kunci pribadi rootCA klaster mengandung baris kosong, jalankan perintah berikut:
sed '1d' /etc/kubernetes/pki/ca.key| base64 -w 0Jika kunci pribadi rootCA klaster tidak mengandung baris kosong, jalankan perintah berikut:
cat /etc/kubernetes/pki/ca.key | base64 -w 0
Masuk ke node pekerja sebagai pengguna root dan jalankan perintah berikut untuk memperbarui sertifikat di node pekerja:
docker run -it --privileged=true -v /:/alicoud-k8s-host --pid host --net host \ registry.cn-hangzhou.aliyuncs.com/acs/cert-rotate:v1.0.0 /renew/upgrade-k8s.sh --role node --rootkey ${base64CAKey}Catatan${base64CAKey} menentukan kunci pribadi root klaster yang dikodekan dalam format Base64. Nilai dari ${base64CAKey} dikembalikan di Langkah 2.
Ulangi langkah-langkah sebelumnya di setiap node pekerja dalam klaster untuk memperbarui sertifikat untuk semua node pekerja.