kubernetes-CA证书过期解决方案


当使用 kubeadm 安装的 Kubernetes 集群证书过期时,可以通过以下步骤更新证书。

一.查看证书有效期信息

# 查看证书过期时间 => k8s1.15+版本的查看方法
kubeadm certs check-expiration

在这里插入图片描述
字段说明

字段解释
CERTIFICATE证书的名称
EXPIRES证书过期的时间点
RESIDUAL TIME当前时间距离证书过期的剩余时间
CERTIFICATE AUTHORITY证书的颁发机构
EXTERNALLY MANAGED证书是否由外部系统管理

证书字段详解

CERTIFICATEEXPIRESRESIDUAL TIMECERTIFICATE AUTHORITYEXTERNALLY MANAGED备注
admin.confAug 02, 2025 08:36 UTC79dcanoKubeconfig 文件,包含集群访问的配置
apiserverAug 02, 2025 08:36 UTC79dcanoKubernetes API 服务器的证书
apiserver-etcd-clientAug 02, 2025 08:36 UTC79detcd-canoAPI 服务器与 ETCD 之间的客户端证书
apiserver-kubelet-clientAug 02, 2025 08:36 UTC79dcanoAPI 服务器与 Kubelet 之间的客户端证书
controller-manager.confAug 02, 2025 08:36 UTC79dcanoKubernetes 控制器管理器的 Kubeconfig 文件
etcd-healthcheck-clientAug 02, 2025 08:36 UTC79detcd-cano用于 ETCD 健康检查的客户端证书
etcd-peerAug 02, 2025 08:36 UTC79detcd-canoETCD 节点间的对等通信证书
etcd-serverAug 02, 2025 08:36 UTC79detcd-canoETCD 服务器的证书
front-proxy-clientAug 02, 2025 08:36 UTC79dfront-proxy-cano前端代理的客户端证书
scheduler.confAug 02, 2025 08:36 UTC79dcanoKubernetes 调度器的 Kubeconfig 文件

显示证书过期还有79天

证书颁发机构字段详解

CERTIFICATE AUTHORITYEXPIRESRESIDUAL TIMEEXTERNALLY MANAGED备注
caJul 31, 2034 08:36 UTC9ynoKubernetes 的主证书颁发机构
etcd-caJul 31, 2034 08:36 UTC9ynoETCD 的证书颁发机构
front-proxy-caJul 31, 2034 08:36 UTC9yno前端代理的证书颁发机构

二.解决方法

1.备份原有证书和配置文件

# 备份整个 /etc/kubernetes 目录
sudo cp -r /etc/kubernetes /etc/kubernetes.bak

# 备份 kubeconfig 文件
sudo cp $HOME/.kube/config $HOME/.kube/config.bak

2.更新证书

# 使用 kubeadm 自动更新所有证书
sudo kubeadm certs renew all

在这里插入图片描述
根据提示,需要重启kube-apiserver,kube-controller-manager,kube-scheduler 和etcd组件,因此还需再进行重启操作

3.重启pod

# 查看这些pod
kubectl get pod -n kube-system

在这里插入图片描述

# 删除这些pod
kubectl delete pod -n kube-system etcd-k8s-master kube-apiserver-k8s-master kube-controller-manager-k8s-master kube-scheduler-k8s-master

在这里插入图片描述

4.更新kubecofig文件

# 重新生成管理员 kubeconfig
sudo kubeadm init phase kubeconfig admin

# 替换原有配置(需备份原文件)
sudo cp /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config

在这里插入图片描述

5.查看证书过期时间

# 确认证书已更新
sudo kubeadm certs check-expiration

在这里插入图片描述

6.重启工作节点kubelet

systemctl restart kubelet
systemctl status kubelet

在这里插入图片描述

7.验证集群状态

kubectl get nodes

在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值