实战：k8s证书续签-2023.6.19(测试成功)

实战：k8s证书续签-2023.6.19(测试成功)

目录

推荐文章

https://www.yuque.com/xyy-onlyone/aevhhf?# 《玩转Typora》

1、前言

k8s集群核心的证书有2套，还有1套非核心的(即使出问题也问题不大)。

⚠️ 如果是kubeadm搭建的k8s集群，其有效期为1年。

二进制搭建可以指定证书过期时间的。

2、续签过程

• 测试环境

1、win10,vmwrokstation虚机；
2、k8s集群：3台centos7.6 1810虚机，1个master节点,2个node节点
   k8s version：v1.20.0
   docker://20.10.7 

• 测试软件(无)

①查看证书有效期

k8s证书目录：/etc/kubernetes/pki

方法1：

kubeadm certs check-expiration

上面：客户端证书

下面：根证书

这个证书时间是在哪个程序里控制的呢？ --kubeadm源码。

如何解决k8s证书过期问题？

1、修改kubeadm源码里面证书默认有效期

2、kubeadm certs续签证书

3、升级k8s集群版本

方法2：

openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -dates

方法3：

echo |openssl s_client -showcerts -connect 127.0.0.1:6443 -servername api 2>/dev/null|openssl x509 -noout -enddate

②续签证书

1、备份

[root@k8s-master1 ~]#cp -r /etc/kubernetes/ /etc/kubernetes.bak
[root@k8s-master1 ~]#cp -r /var/lib/etcd/ /var/lib/etcd.bak

2、续签证书

kubeadm certs renew all

3、重启生效证书

kubectl delete po kube-apiserver-k8s-master1 kube-controller-manager-k8s-master1 kube-scheduler-k8s-master1 etcd-k8s-master1 -nkube-system

4、kubectl使用新配置文件

cp -f /etc/kubernetes/admin.conf  $HOME/.kube/config

⚠️ 注意：

如果是多master，其它证书和配置文件拷贝过去覆盖或者做上述同样操作。

③测试

3、建议

建议：

对k8s集群证书有效期做好监控。

对https网站的域名证书做好监控。

关于我

我的博客主旨：

• 排版美观，语言精炼；
• 文档即手册，步骤明细，拒绝埋坑，提供源码；
• 本人实战文档都是亲测成功的，各位小伙伴在实际操作过程中如有什么疑问，可随时联系本人帮您解决问题，让我们一起进步！

微信二维码
x2675263825 （舍得）， qq：2675263825。

微信公众号
《云原生架构师实战》

语雀

https://www.yuque.com/xyy-onlyone

csdn
https://blog.csdn.net/weixin_39246554?spm=1010.2135.3001.5421

知乎
https://www.zhihu.com/people/foryouone

2135.3001.5421)

[外链图片转存中…(img-W3hWsQut-1687471061620)]

知乎
https://www.zhihu.com/people/foryouone

[外链图片转存中…(img-d5AZKoww-1687471061620)]