續訂RCM Kubernetes證書

下載選項

PDF (312.4 KB)
在多種裝置上使用 Adobe Reader 檢視
ePub (77.2 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (62.3 KB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2022 年 11 月 17 日

文件 ID:218431

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本檔案介紹在Cisco 5G RCM（備援組態管理員）中續訂Kubernetes憑證的程式。

必備條件

如果它是RCM高可用性設定，則必須先在備用RCM上執行該過程，然後執行切換，並在新的備用RCM上運行該過程。如果沒有RCM高可用性可用，則在RCM重新啟動期間（這是證書續訂流程的一部分）無法使用UP冗餘。

檢查證書是否過期

要確保證書是否過期，請運行sudo kubeadm alpha certs check-expiration。

ubuntu@rcm:~$ sudo kubeadm alpha certs check-expiration
CERTIFICATE               EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
admin.conf                Oct 31, 2024 03:34 UTC   <invalid>       no
apiserver                 Oct 31, 2024 03:34 UTC   <invalid>       no
apiserver-etcd-client     Oct 31, 2024 03:34 UTC   <invalid>       no
apiserver-kubelet-client  Oct 31, 2024 03:34 UTC   <invalid>       no
controller-manager.conf   Oct 31, 2024 03:34 UTC   <invalid>       no
etcd-healthcheck-client   Oct 31, 2024 03:34 UTC   <invalid>       no
etcd-peer                 Oct 31, 2024 03:34 UTC   <invalid>       no
etcd-server               Oct 31, 2024 03:34 UTC   <invalid>       no
front-proxy-client        Oct 31, 2024 03:34 UTC   <invalid>       no
scheduler.conf            Oct 31, 2024 03:34 UTC   <invalid>       no

續訂憑證

運行sudo kubeadm alpha certs renew all以續訂證書。

ubuntu@rcm:~$ sudo kubeadm alpha certs renew all
certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself renewed
certificate for serving the Kubernetes API renewed
certificate the apiserver uses to access etcd renewed
certificate for the API server to connect to kubelet renewed
certificate embedded in the kubeconfig file for the controller manager to use renewed
certificate for liveness probes to healtcheck etcd renewed
certificate for etcd nodes to communicate with each other renewed
certificate for serving etcd renewed
certificate for the front proxy client renewed
certificate embedded in the kubeconfig file for the scheduler manager to use renewed

如果憑證已續訂，請再次檢查

運行sudo kubeadm alpha certs check-expiration以檢查證書是否已續訂。

ubuntu@rcm:~$ sudo kubeadm alpha certs check-expiration
CERTIFICATE               EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
admin.conf                Nov 01, 2025 03:34 UTC   364d            no
apiserver                 Nov 01, 2025 03:34 UTC   364d            no
apiserver-etcd-client     Nov 01, 2025 03:34 UTC   364d            no
apiserver-kubelet-client  Nov 01, 2025 03:34 UTC   364d            no
controller-manager.conf   Nov 01, 2025 03:34 UTC   364d            no
etcd-healthcheck-client   Nov 01, 2025 03:34 UTC   364d            no
etcd-peer                 Nov 01, 2025 03:34 UTC   364d            no
etcd-server               Nov 01, 2025 03:34 UTC   364d            no
front-proxy-client        Nov 01, 2025 03:34 UTC   364d            no
scheduler.conf            Nov 01, 2025 03:34 UTC   364d            no

修改kubelet.conf

在kubeadm版本1.17之前，需要手動修改kubelet.conf。將client-certificate-data和client-key-data替換為。

/etc/kubernetes/kubelet.conf

client-certificate:/var/lib/kubelet/pki/kubelet-client-current.pem
client-key: /var/lib/kubelet/pki/kubelet-client-current.pem

Copy admin.conf

將admin.conf複製到.kube/config中。

sudo cp /etc/kubernetes/admin.conf ~/.kube/config

重新啟動系統

sudo reboot

請確定kubectl命令是否有效

重新開機後，請確認kubectl指令是否正常運作。

ubuntu@rcm:~$ kubectl get node
NAME   STATUS   ROLES       AGE   VERSION
rcm    Ready    master,oam  16d   v1.15.12

修訂記錄

修訂	發佈日期	意見
1.0	17-Nov-2022	初始版本

由思科工程師貢獻

Tomonobu Okada
Cisco TAC工程師
Yasuaki Nambu
Cisco TAC工程師