即将过期的证书更新

kubeadm alpha certs check-expiration kubernetes证书过期时间

1、各个证书过期时间

/etc/kubernetes/pki/apiserver.crt #1年有效期

/etc/kubernetes/pki/front-proxy-ca.crt #10年有效期

/etc/kubernetes/pki/ca.crt #10年有效期

/etc/kubernetes/pki/apiserver-etcd-client.crt #1年有效期

/etc/kubernetes/pki/front-proxy-client.crt #1年有效期

/etc/kubernetes/pki/etcd/server.crt #1年有效期

/etc/kubernetes/pki/etcd/ca.crt #10年有效期

/etc/kubernetes/pki/etcd/peer.crt #1年有效期

/etc/kubernetes/pki/etcd/healthcheck-client.crt #1年有效期

/etc/kubernetes/pki/apiserver-kubelet-client.crt #1年有效期

2、所有master生成集群的配置文件

kubeadm config view > /tools/cluster.yaml

3、所有master备份原有证书

cp -rp /etc/kubernetes /tools/kubernetes.bak

4、所有master备份etcd数据目录

cp -r /var/lib/etcd /tools/etcd.bak

5、所有master更新证书

kubeadm alpha certs renew all –config=/tools/cluster.yaml

6、所有master上执行重启kube-apiserver,kube-controller,kube-scheduler,etcd这4个容器，使证书生效

docker ps |grep -E ‘k8s_kube-apiserver|k8s_kube-controller-manager|k8s_kube-scheduler|k8s_etcd_etcd’ | awk -F ‘ ‘ ‘{print $1}’|xargs docker restart

7、所有master查看各个证书过期时间

for item in find /etc/kubernetes/pki -maxdepth 2 -name “*.crt”;do openssl x509 -in $item -text -noout| grep Not;

echo ======================$item===============;done

8、修改kubesphere账号密码问题 ,通过kubectl 编辑user, 删除annotation中的iam.kubesphere.io/password-encrypted 修改spec.password，等用户状态变为active 就可以登录了

kubectl edit users admin

kubectl get users admin

9、修改kubesphere账号密码问题

kubectl patch users admin -p ‘{“spec”:{“password”:“P@88w0rd”}}’ –type=‘merge’ && kubectl annotate users admin iam.kubesphere.io/password-encrypted-

更新kubesphere的cluster信息：

覆盖本地kubeconf:

cp -i /etc/kubernetes/admin.conf $HOME/.kube/config

base64加密：

cat $HOME/.kube/config |base64

得到加密好的文字，使用sublime去掉换行符，得到最终的秘钥

更新HOST集群中的cluster配置

kubect edit cluster XXXX

替换掉

spec:

connection:

kubeconfig: