K8S集群证书过期
好方
好方
发布于 2023-08-20 / 0 阅读 / 0 评论 / 0 点赞

K8S集群证书过期

问题:K8S集群证书过期

生产环境中,k8s环境的3个master中的1个master证书过期,导致执行巡检的时候报错,如下

检查集群的证书,发现确实有1个master节点的证书过期,如下

正常的master节点证书情况,如下,可以看到时间过98y(改过kubeadm源码,因此为100年,3个master有的用的是改过的,有些是没有改过的,因此后面更新的那个master的证书为1年)

备份相关文件

备份k8s的证书目录以及kubeconfig,如下

mkdir backup
cp /etc/kubernetes/pki backup/pki
cp ~/.kube/config backup/

证书更新

在证书过期的节点上执行更新的命令即可,并更新新的kubeconfig,如下

kubeadm alpha certs check-expiration; kubeadm alpha certs renew all
cp  /etc/kubernetes/admin.conf  ~/.kube/config

重启k8s控制平面

命令如下

docker ps |egrep "k8s_kube-apiserver|k8s_kube-scheduler|k8s_kube-controller"|awk '{print $1}'|xargs docker restart

如果etcd也是用容器方式运行的,那etcd也要重启,如下

检查确认

命令如下

kubeadm alpha certs check-expiration

可以看到证书已经更新到一年之后了


评论