如何更新本地集群ca/tls证书？

前提条件

• 本地集群各个组件运行正常。
• 集群各个节点处于ready状态。

操作步骤

1. 下载ucs-ctl二进制工具，放到任一台本地集群的管控节点/root/ucs目录下。
2. 将所有节点密码信息记录到表格中，并保存到二进制所在节点/root/ucs/update_cert.csv。格式请参考表1。

   表1 表格模板

   字段	说明
   Node IP	必填，节点IP地址
   Node Role	必填，节点角色（选填master/node）
   User	必填，节点登录用户
   Password	选填，节点登录密码
   Auth Type	选填，节点认证类型（选填password/key）
   Key Path	选填，节点登录密钥路径

   样例如下：

   Node IP,Node Role,User,Password,Auth Type,Key Path

   192.168.0.145,master,root,xxx,password,

   192.168.0.225,master,root,xxx,password,

   192.168.0.68,master,root,xxx,password,

   192.168.0.89,node,root,xxx,password,

3. 导出环境变量

   export CUSTOM_DOMAIN={ucs_endpoint},10.247.0.1

   

   其中ucs_endpoint为server访问地址，可通过以下方式获取。

   cat /var/paas/srv/kubernetes/kubeconfig | grep server

4. 执行证书更新。

   cd /root/ucs

   ./ucs-ctl kcm update-cert {cluster_name} -c update_cert.csv

5. 失败后重试。

   ./ucs-ctl kcm update-cert {cluster_name} -c update_cert.csv -r

6. 失败后回滚。

   ./ucs-ctl kcm rollback-cert {cluster_name} -c update_cert.csv