kubelet证书分为server和client两种, k8s 1.9默认启用了client证书的自动轮换,但server证书自动轮换需要用户开启。方法是:

2.1 增加 kubelet 参数(现已默认)

--feature-gates=RotateKubeletServerCertificate=true

2.2 增加 controller-manager 参数(现已默认)

--experimental-cluster-signing-duration=87600h0m0s
--feature-gates=RotateKubeletServerCertificate=true

2.3 创建 rbac 对象

创建rbac对象,允许节点轮换kubelet server证书:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "true"
  labels:
    kubernetes.io/bootstrapping: rbac-defaults
  name: system:certificates.k8s.io:certificatesigningrequests:selfnodeserver
rules:
- apiGroups:
  - certificates.k8s.io
  resources:
  - certificatesigningrequests/selfnodeserver
  verbs:
  - create
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: kubeadm:node-autoapprove-certificate-server
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:certificates.k8s.io:certificatesigningrequests:selfnodeserver
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: system:nodes

最新文章

  1. MySQL的基本知识 -- 函数
  2. linux下mv命令使用方法
  3. .NET简谈插件系统开发模式
  4. Projected Coordinate Systems
  5. 尚未在 Web 服务器上注册 ASP.NET 4.0” 的解决办法
  6. dispatch_get_current_queue 废弃
  7. 有两个数a,b,请写一个函数交换a,b
  8. String与StringBuilder区别总结
  9. instanceof问题
  10. 201521123062《Java程序设计》第5周学习总结
  11. Text-鼠标点击事件
  12. 五个最佳RSS新闻阅读器
  13. 雅礼集训【Day6-1】字符串
  14. window 操作 快捷键
  15. SpringBoot整合shiro实现用户的认证授权
  16. ABAP 省市县级联搜索帮助
  17. GCN code parsing
  18. js小游戏:五子棋
  19. spring boot 学习(八)定时任务 @Scheduled
  20. hdu1176 dp

热门文章

  1. [LeetCode] 752. Open the Lock 开锁
  2. IDEA--IDEA debug断点调试技巧
  3. 【转】Ubuntu环境搭建svn服务器
  4. Python: ImportRequestsError: No module named 'requests'解决方法
  5. php_mvc实现步骤十
  6. mysql系统信息函数
  7. 深度解析qml引擎---(1)Qml文件加载
  8. log sum of exponential
  9. Python3实现一个简单的tcp客户端,用于测试服务端端口开放情况
  10. Linux组管理、用户管理、查看用户信息、usermod、which、切换用户、修改文件具体权限