Rancher UI管理页面无法使用
如果证书已过期,Rancher 可视化UI管理页面将无法使用。
具体原因可通过docker logs命令查看rancher容器日志,若发现一直报 x509: certificate has expired or is not yet valid
的错误,很明显是证书过期了。
1、结合对应版本执行以下命令:
- 2.0 或 2.1 版本
docker exec -ti <rancher_server_id> mv /var/lib/rancher/management-state/certs/bundle.json /var/lib/rancher/management-state/certs/bundle.json-bak
- 2.2 +
docker exec -ti <rancher_server_id> mv /var/lib/rancher/management-state/tls/localhost.crt /var/lib/rancher/management-state/tls/localhost.crt-bak
- 2.3 +
docker exec -ti <rancher_server_id> mv /var/lib/rancher/k3s/server/tls /var/lib/rancher/k3s/server/tlsbak
# 执行两侧,第一次用于申请证书,第二次用于加载证书并启动
docker restart <rancher_server_id>
可进入`/var/lib/rancher/k3s/server/tls`执行下面命令可以查看到期时间
for i in `ls *.crt` ;do openssl x509 -in $i -noout -dates;echo $i;done
- 2.4/2.5 +
a、exec 到 rancher server
kubectl --insecure-skip-tls-verify -n kube-system delete secrets k3s-serving
kubectl --insecure-skip-tls-verify delete secret serving-cert -n cattle-system
rm -f /var/lib/rancher/k3s/server/tls/dynamic-cert.json
b、重启 rancher-server
c、执行以下命令刷新参数
curl --insecure -sfL https://<server-url>/v3 # 请将 <server-url> 替换为 Rancher Server 的访问地址
2、然后重启 Rancher Server 容器 docker restart <rancher_server_id>
,之后会自动申请新的证书。
3、再重启一下rancher-server容器。(重启用来加载新申请的证书)
详见:https://docs.rancher.cn/docs/rancher2/cluster-admin/certificate-rotation/_index/#%E7%8B%AC%E7%AB%8B%E5%AE%B9%E5%99%A8-rancher-server-%E8%AF%81%E4%B9%A6%E6%9B%B4%E6%96%B0