在 Kubernetes 集群中,由 kubeadm 生成的证书默认有效期为 1 年。如果证书到期,需要进行续订或者更换。以下是更换 kubeadmin 证书的步骤:
-
检查证书到期时间: 使用以下命令来检查证书何时过期:
shellkubeadm certs check-expiration
这将显示所有证书的到期时间和剩余时间。
-
自动更新证书: kubeadm 在控制面升级时会自动更新所有证书。如果你定期执行 Kubernetes 版本升级(每次升级之间的间隔时间少于 1 年),则 kubeadm 将确保你的集群保持最新状态并保持合理的安全性。
-
手动更新证书: 你可以随时通过
shellkubeadm certs renew
命令手动更新你的证书。此命令使用 CA 证书和存储在/etc/kubernetes/pki
中的密钥来执行更新。执行完此命令之后你需要重启控制面 Pod:kubeadm certs renew all
因为动态证书重载目前还不被所有组件和证书支持,所以这项操作是必须的