Rke2集群更换证书 rke2-serving证书没有更新

chqj · 2024 年1 月 8 日 01:43

Rancher Server 设置

rke2 版本：v1.24.11+rke2r1
集群结构：

image814×152 55.4 KB

kke2部署步骤：
#mkdir -p /etc/rancher/rke2/
#vim /etc/rancher/rke2/config.yaml
#curl -sfL https://rancher-mirror.oss-cn-beijing.aliyuncs.com/rke2/install.sh | INSTALL_RKE2_MIRROR=cn INSTALL_RKE2_VERSION=v1.24.11+rke2r1 sh -
#systemctl enable rke2-server
#systemctl start rke2-server
#ln -s /var/lib/rancher/rke2/bin/kubectl /usr/bin/kubectl
#mkdir ~/.kube -p
#cp /etc/rancher/rke2/rke2.yaml ~/.kube/config

**主机操作系统：Ubuntu 20.04.5

**问题描述：使用rm /var/lib/rancher/rke2/server/tls/dynamic-cert.json，重启rke2服务后，没有触发更新

**重现步骤：#rm /var/lib/rancher/rke2/server/tls/dynamic-cert.json

#systemctl stop rke2-server

rke2 certificate rotate

#systemctl start rke2-server

#cp /etc/rancher/rke2/rke2.yaml ~/.kube/config

#for i in ls /var/lib/rancher/rke2/server/tls/*.crt; do echo $i; openssl x509 -enddate -noout -in $i; done

#kubectl get secret -n kube-system rke2-serving --template=‘{{index .data “tls.crt”}}’ | base64 -d | openssl x509 -text | grep -E “After|Before”

#rm /var/lib/rancher/rke2/server/tls/dynamic-cert.json

#kubectl delete secret rke2-serving -n kube-system

systemctl restart rke2-server

**结果：rke2 certificate rotate执行后证书更新，执行“rm /var/lib/rancher/rke2/server/tls/dynamic-cert.json”，重启服务rke2-serving证书没有更新；删除secret“rke2-serving”后，重启后没有生成rke2-serving的这个secret

**预期结果：证书包括rke2-serving证书更新成功

截图：

其他上下文信息：

日志

chqj · 2024 年1 月 8 日 01:46

rke2集群里面通过helm安装了rancher,和这个有关系吗？secret“rke2-serving” 这个还有其他办法更新吗？

chqj · 2024 年1 月 8 日 02:01

更新secret“rke2-serving”这个需要其他master停止rke2-server.service服务吗？

ksd · 2024 年1 月 8 日 02:24

别人都行，你咋咋就不行了…… 哎……

不行，你就在操作移除 dynamic-cert.json ，再次重启 RKE2

chqj · 2024 年1 月 8 日 02:26

重启了很多次，删除那个secret,重启直接不生成了

chqj · 2024 年1 月 8 日 03:11

大佬没有别的办法更新了吗

ksd · 2024 年1 月 9 日 01:54

没别的办法，你把你每一步的操作记录和返回都截取出来，我还是不太相信

chqj · 2024 年1 月 9 日 03:40

好的我找个时间再试一下到时候都截图出来

chqj · 2024 年1 月 18 日 02:48

大佬我复现了一下 rke2 helm安装了rancher之后 delete rke2-serving secret 就不会重新生成；不按照rancher 重启后就会生成 rke2-serving secret ，日志如截图：

chqj · 2024 年1 月 18 日 02:49

打错了不安装不是不按照

chqj · 2024 年1 月 18 日 02:51

chqj · 2024 年1 月 18 日 03:14

卸载rancher，重启也没有生成rke2-serving证书

chqj · 2024 年1 月 18 日 03:15

是我卸载的方式不对吗

chqj · 2024 年1 月 18 日 03:43

https://github.com/rancher/rancher-cleanup/blob/main/deploy/rancher-cleanup.yaml
磁盘回滚到之前状态，使用上面的yaml，重新卸载，卸载完成后，重新重启，生成rke2-serving证书成功；
06c7fc819260ae99327fe4bac723f02

chqj · 2024 年1 月 18 日 03:44

执行 https://github.com/rancher/rancher-cleanup/blob/main/deploy/rancher-cleanup.yaml 卸载截图

chqj · 2024 年1 月 18 日 03:45

所以helm的安装的rancher限制了rke2-serving secret的生成,这是为什么

chqj · 2024 年1 月 18 日 04:25

重新安装rancher

删除rke2-serving

没有生成rke2-serving