Rke2集群证书到期

jin · 2024 年12 月 17 日 07:23

Rancher Server 设置

Rancher 版本：V2.8.5
安装选项 (Docker install/Helm Chart): helm
- 如果是 Helm Chart 安装，需要提供 Local 集群的类型（RKE1, RKE2, k3s, EKS, 等）和版本：RKE2
在线或离线部署：在现部署

下游集群信息

Kubernetes 版本: v1.28.10 +rke2r1
Cluster Type (Local/Downstream):
- 如果 Downstream，是什么类型的集群?(自定义/导入或为托管等): 自定义

用户信息

登录用户的角色是什么？（管理员/集群所有者/集群成员/项目所有者/项目成员/自定义）：管理员
- 如果自定义，自定义权限集：

主机操作系统： ubuntu22.04

问题描述： 发现集群中节点报证书到期，当前证书只有一年，此证书是否能增加时间，轮换后证书时间是多久？如果证书过期会有什么影响，麻烦大佬看到解答一下
Node certificates require attention - restart rke2 on this node to trigger automatic rotation: kube-proxy/client-kube-proxy.crt: certificate CN=system:kube-proxy will expire within 90 days at 2025-02-28T02:47:43Z, rke2-controller/client-rke2-controller.crt: certificate CN=system:rke2-controller will expire within 90 days at 2025-02-28T02:47:43Z
重现步骤：

结果：

预期结果：

截图：

其他上下文信息：

日志


Node certificates require attention - restart rke2 on this node to trigger automatic rotation: kube-proxy/client-kube-proxy.crt: certificate CN=system:kube-proxy will expire within 90 days at 2025-02-28T02:47:43Z, rke2-controller/client-rke2-controller.crt: certificate CN=system:rke2-controller will expire within 90 days at 2025-02-28T02:47:43Z

ksd · 2024 年12 月 17 日 07:50

RKE2 集群的 K8s 组件的证书有效期是 1 年，当执行轮换证书后，新的证书有效期还是为一年。

并且，这个证书不能增加时间。如果证书过期，会导致集群组件之间通信不可用，也就是集群不可用。