现象
通过 kubeadm 安装 kubernetes 集群时会存在一个证书问题:由 kubeadm 生成的客户端证书在 1 年后到期。
随着 kubernetes 集群的使用,某一天证书过期了,此时 kubernetes 集群将无法正常使用,比如:kubectl 命令执行会产生错误(You must be logged in to the server(unauthorized))、通过 k8s 接口访问资源时出现“证书过期”的错误等。
很明显,这是证书过期导致,只需更新证书即可。
k8s 为什么将客户端证书的有效期设置为 1 年呢?
kubeadm 会在控制面升级的时候更新所有证书。
如果你对此类证书的更新没有特殊要求, 并且定期执行 Kubernetes 版本升级(每次升级之间的间隔时间少于 1 年), 则 kubeadm 将确保你的集群保持最新状态并保持合理的安全性。
最佳的做法是经常升级集群以确保安全。
解决方法
在实际中,如果遇到证书过期,则需手动更新证书,通过 kubeadm certs renew 命令手动更新你的证书。
查看证书过期时间。
在 Master 节点上,执行 kubeadm certs check-expiration 命令,查看证书过期时间。
输出类似以下内容:
备份证书
为防止更新证书等操作失败,关键操作前一定要进行备份。备份 /etc/kubernetes 目录:
cp -r /etc/kubernetes /etc/kubernetes.old # 当升级证书失败时, 可以将此文件夹复原, 即可恢复原有集群
修改时间
将k8s的所以节点的时间修改成未来的时间
date -s "20330508 12:00:00"
更新证书
使用 kubeadm certs renew all 命令来更新所有证书。
更新 ~/.kube/config 文件
mv config config.old
cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
chown $(id -u):$(id -g) $HOME/.kube/config
sudo chmod 644 $HOME/.kube/config
弹出提示,输入y,回车
将k8s的所以节点的时间修改成现在的时间
date -s "20230508 12:00:00"
重启
重启 kube-apiserver,kube-controller,kube-scheduler,etcd 这4个容器:
docker ps | grep -v pause | grep -E "etcd|scheduler|controller|apiserver" | awk '{print $1}' | awk '{print "docker","restart",$1}' | bash
在 Master 节点上,执行 kubeadm certs check-expiration 命令,查看证书过期时间。就会发现证书已经更新了
标签:10,kube,kubernetes,证书,续期,k8s,config,kubeadm From: https://www.cnblogs.com/syq520/p/18324692