Renovar certificados RCM Kubernetes

Opções de download

  • PDF     (233.7 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (79.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (65.0 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:17 de novembro de 2022
ID do documento:218431

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve o procedimento para renovar certificados Kubernetes no Cisco 5G RCM (Redundancy Configuration Manager).

    Pré-requisito

    Se for a configuração de Alta Disponibilidade do RCM, o procedimento deverá ser executado primeiro no RCM em standby, em seguida, execute um switchover e execute o procedimento no novo RCM em standby. Se não houver alta disponibilidade de RCM disponível, a redundância de UP não estará disponível durante a reinicialização de RCM, que faz parte do processo de renovação de certificados.

    Verificar se os certificados expiraram

    Para certificar-se de que os certificados tenham expirado, execute sudo kubeadm alpha certs check-expiration.

    ubuntu@rcm:~$ sudo kubeadm alpha certs check-expiration
    CERTIFICATE               EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
    admin.conf                Oct 31, 2024 03:34 UTC   <invalid>       no
    apiserver                 Oct 31, 2024 03:34 UTC   <invalid>       no
    apiserver-etcd-client     Oct 31, 2024 03:34 UTC   <invalid>       no
    apiserver-kubelet-client  Oct 31, 2024 03:34 UTC   <invalid>       no
    controller-manager.conf   Oct 31, 2024 03:34 UTC   <invalid>       no
    etcd-healthcheck-client   Oct 31, 2024 03:34 UTC   <invalid>       no
    etcd-peer                 Oct 31, 2024 03:34 UTC   <invalid>       no
    etcd-server               Oct 31, 2024 03:34 UTC   <invalid>       no
    front-proxy-client        Oct 31, 2024 03:34 UTC   <invalid>       no
    scheduler.conf            Oct 31, 2024 03:34 UTC   <invalid>       no

    Renovar os certificados

    Execute sudo kubeadm alpha certs renew all para renovar os certificados.

    ubuntu@rcm:~$ sudo kubeadm alpha certs renew all
    certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself renewed
    certificate for serving the Kubernetes API renewed
    certificate the apiserver uses to access etcd renewed
    certificate for the API server to connect to kubelet renewed
    certificate embedded in the kubeconfig file for the controller manager to use renewed
    certificate for liveness probes to healtcheck etcd renewed
    certificate for etcd nodes to communicate with each other renewed
    certificate for serving etcd renewed
    certificate for the front proxy client renewed
    certificate embedded in the kubeconfig file for the scheduler manager to use renewed

    Verificar novamente se os certificados foram renovados

    Execute sudo kubeadm alpha certs check-expiration para verificar se os certificados são renovados.

    ubuntu@rcm:~$ sudo kubeadm alpha certs check-expiration
    CERTIFICATE               EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
    admin.conf                Nov 01, 2025 03:34 UTC   364d            no
    apiserver                 Nov 01, 2025 03:34 UTC   364d            no
    apiserver-etcd-client     Nov 01, 2025 03:34 UTC   364d            no
    apiserver-kubelet-client  Nov 01, 2025 03:34 UTC   364d            no
    controller-manager.conf   Nov 01, 2025 03:34 UTC   364d            no
    etcd-healthcheck-client   Nov 01, 2025 03:34 UTC   364d            no
    etcd-peer                 Nov 01, 2025 03:34 UTC   364d            no
    etcd-server               Nov 01, 2025 03:34 UTC   364d            no
    front-proxy-client        Nov 01, 2025 03:34 UTC   364d            no
    scheduler.conf            Nov 01, 2025 03:34 UTC   364d            no

    Modificar o kubelet.conf

    Antes da versão 1.17 do kubeadm, é necessário modificar manualmente o kubelet.conf. Substitua client-certificate-data e client-key-data por este.

    /etc/kubernetes/kubelet.conf

    client-certificate:/var/lib/kubelet/pki/kubelet-client-current.pem
    client-key: /var/lib/kubelet/pki/kubelet-client-current.pem

    Copie admin.conf

    Copie admin.conf para substituir .kube/config.

    sudo cp /etc/kubernetes/admin.conf ~/.kube/config

    Reinicialize o sistema

    sudo reboot

    Verifique se o comando kubectl funciona

    Após a reinicialização, verifique se o comando kubectl funciona bem.

    ubuntu@rcm:~$ kubectl get node
    NAME   STATUS   ROLES       AGE   VERSION
    rcm    Ready    master,oam  16d   v1.15.12

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    17-Nov-2022
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Tomonobu Okada
      Engenheiro do Cisco TAC
    • Yasuaki Nambu
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos