第 9 章 节点维护
9.1. 手动刷新 TLS 证书
容器原生虚拟化组件的 TLS 证书是在安装时创建的,并在一年内有效。您必须在这些证书过期前进行手动刷新。
9.1.1. 刷新 TLS 证书
要刷新容器原生虚拟化的 TLS 证书,请下载并运行 rotate-certs
脚本。该脚本可从 GitHub 上的 kubevirt/hyperconverged-cluster-operator
存储库中获得。
重要
刷新证书时,以下操作会受到影响:
- 迁移会取消
- 镜像上传会取消
- VNC 和控制台连接会关闭
先决条件
-
确保您以具有
cluster-admin
权限的用户身份登录集群。该脚本使用与集群的活跃会话来刷新openshift-cnv
命名空间中的证书。
流程
从 GitHub 下载
rotate-certs.sh
脚本:$ curl -O https://raw.githubusercontent.com/kubevirt/hyperconverged-cluster-operator/master/tools/rotate-certs.sh
确保脚本可以执行:
$ chmod +x rotate-certs.sh
运行脚本:
$ ./rotate-certs.sh -n openshift-cnv
TLS 证书已刷新,并在一年内有效。