内容纲要
首先打开 /etc/kubernetes/pki 目录,里面会有很多证书。
执行命令查看当前证书允许通过哪些地址访问 APIServer:
openssl x509 -in apiserver.crt -noout -text|grep -A 2 'Alternative'
可以看到证书允许的都是些内网 IP、本地 DNS 等。
备份好当前的密钥和客户端证书:
mv apiserver.crt apiserver.crt.bak
mv apiserver.key apiserver.key.bak
修改 kubeadm.config 配置:
nano /etc/kubernetes/kubeadm-config.yaml
如果找不到这个文件,可以重新生成:
kubeadm config view | tee /etc/kubernetes/kubeadm-config.yaml
在这里加上要绑定的域名:
重新生成证书:
kubeadm init phase certs apiserver --config /etc/kubernetes/kubeadm-config.yaml