晓空blog
·
刷新k3s的证书以实现远程访问
💡
原文中文,约2100字,阅读约需5分钟。
📝
内容提要
部署k3s或k8s时,若遇到TLS证书验证失败,可通过固定IP和刷新证书解决。修改k3s配置文件,添加tls-san,重启服务以重建证书,最后更新kubectl配置,使用Tailscale地址进行远程访问。
🎯
关键要点
- 在部署k3s或k8s时,可能会遇到TLS证书验证失败的问题。
- 解决方法是固定IP并刷新证书。
- 修改k3s配置文件,添加tls-san字段以包含固定IP。
- 重启k3s服务以重建证书。
- 更新kubectl配置,使用Tailscale地址进行远程访问。
- 在k3s服务器上修改或创建配置文件/etc/rancher/k3s/config.yaml。
- 删除原有证书并重启服务以自动重建证书。
- 在Windows上下载并覆盖kubectl配置文件,修改server字段为Tailscale地址。
- 完成后可以正常远程操作kubectl。
❓
延伸问答
如何解决k3s或k8s的TLS证书验证失败问题?
可以通过固定IP并刷新证书来解决。需要修改k3s配置文件,添加tls-san字段,重启服务以重建证书。
在k3s中如何配置tls-san字段?
在k3s服务器上修改或创建/etc/rancher/k3s/config.yaml文件,添加tls-san字段并包含固定IP。
如何在k3s中刷新apiserver证书?
可以通过删除原有证书并重启k3s服务来自动重建证书。
如何在Windows上配置kubectl以进行远程访问?
下载k3s的配置文件并覆盖到本地的kubectl配置中,修改server字段为Tailscale地址。
使用Tailscale进行k3s远程访问的优缺点是什么?
优点是可以固定内网地址,方便远程访问;缺点是可能会影响速度,尤其是非p2p连接。
在k3s中,如何处理多个节点的证书刷新?
需要在每个节点上逐个进行删除原有证书和重启服务的操作。
➡️
