自建K8s集群无法通过公网访问解决方案

问题原因

通过ckube搭建k8s集群时，由于没有指定公网IP，导致签发的apiserver.cert默认可提供给对外访问的是内网IP，不包含宿主机的公网IP，所以直接通过admin.conf中配置宿主机的公网IP去访问kubernetes是不可能的。

解决方案

手动通过kubeadm重新签发apiserver.cert，并在签发时指定宿主机的公网IP，使签发的apiserver.cert可以将宿主机的公网IP提供给外部访问apiserver使用

具体步骤

1、备份原有apiserver的cert和key
2、删除当前kubernetes集群下的apiserver的cert和key

rm /etc/kubernetes/pki/apiserver.*

3、生成新的apiserver的cert和key

kubeadm init phase certs apiserver --apiserver-advertise-address=${原来的advertise ip} --apiserver-cert-extra-sans=${master的外网ip}

示例：

kubeadm init phase certs apiserver --apiserver-advertise-address=10.202.2.20 --apiserver-cert-extra-sans=apiserver.cluster.local,121.36.64.104,127.0.0.1,10.202.2.20,10.202.2.183,10.202.2.191,10.103.97.2,10.96.0.1

注：–apiserver-cert-extra-sans参数中一定要指定apiserver.cluster.local，否则在下一步刷新admin.conf时会因为请求apiserver.cluster.local失败而导致刷新失败
4、分别刷新master节点上的admin.conf

kubeadm certs renew admin.conf

5、重启apiserver（可以先delete在apply）

kubectl delete pod ${集群内apiserver的所有pod} –n kube-system

6、将公网IP配置在kubeConfig文件中，验证更新效果

注意事项

kubeadm没有指定证书年限的参数，默认签发出的apiserver.cert有效期为1年，需要注意过期时间，提前重新签发