问/var/lib/kubelet/pki/kubelet.crt已过期，如何更新？

EN

我在许多其他论坛上看到了这个问题，我终于找到了一个解决方案。

首先，我的问题完全是由于证书/var/lib/kubelet/pki/kubelet.crt造成的，我可以看到它过期了，其中之一是：

echo -n | openssl s_client -connect localhost:10250 2>&1 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | openssl x509 -text -noout | grep -A 2 Validity

或

sudo openssl x509 -in /var/lib/kubelet/pki/kubelet.crt -text -noout  | grep -A 2 Validity

首先，您需要在kubelet中启用--rotate-certificates=true和--rotate-server-certificates=true。在我的例子中，我使用kubeadm安装了集群，因此我可以编辑/etc/systemd/system/kubelet.service.d/10-kubeadm.conf，并将以下内容添加到KUBELET_EXTRA_ARGS中：

Environment="KUBELET_EXTRA_ARGS=--rotate-certificates=true --rotate-server-certificates=true --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"

通常，它只是将这些标志添加到kubelet /usr/bin/kubelet --rotate-certificates=true --rotate-server-certificates=true中。

然后，重新加载并重新启动kubelet，其中包括：

sudo systemctl daemon-reload
sudo service kubelet restart

重新启动后，我看到类似于14114 log.go:172] http: TLS handshake error from 20.0.0.13:57738: no serving certificate available for the kubelet的内容，它指示需要添加和批准证书。

其次，我们需要批准kubernetes的csr (这是我以前从未看过的.)：

kubectl get csr

将看到正在等待批准的证书，因此刚刚批准：

kubectl certificate approve csr-dlcf6

您的集群现在应该有服务器kubelet证书更新。再次核实：

echo -n | openssl s_client -connect localhost:10250 2>&1 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | openssl x509 -text -noout | grep -A 2 Validity

一些注意事项：

• 我们已经启用了客户机和服务器的轮换。客户端轮转也是自动证书更新脚本(https://kubernetes.io/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/)的一部分。
• 在启用旋转之后，不再使用/var/lib/kubelet/pki/kubelet.crt，而是使用符号链接/var/lib/kubelet/pki/kubelet-server-current.pem并指向最新的旋转证书。

参考文献：

• https://kubernetes.io/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/
• https://devopstales.github.io/kubernetes/k8s-cert/
• https://kubernetes.io/docs/tasks/tls/certificate-rotation/
• https://kubernetes.io/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/#kubelet-serving-certs