k8s证书更新，kubeadm安装的K8S证书过期后无法使用后证书更新方法-Toy模板网

这篇具有很好参考价值的文章主要介绍了k8s证书更新，kubeadm安装的K8S证书过期后无法使用后证书更新方法。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

k8s证书更新

1. 查看证书过期时间

#通过文件查看证书过期时间
for item in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`;do openssl x509 -in $item -text -noout| grep Not;echo ======================$item===============;done

#通过命令查看证书过期时间
kubeadm certs check-expiration

k8s安装一年后证书显示过期。证书未自动续期。
以下操作需到所有master节点操作
一般情况下，k8s创建的集群节点上的/usr/bin/文件夹下会存在kubeadm二进制文件，如果发现master节点上没有kubeadm，可以从官方下载对应的版本并且安装。文章来源地址https://www.toymoban.com/news/detail-619786.html

2. 备份文件

## 将k8s和tecd相关文件做备份
cp -r /etc/kubernetes /etc/kubernetes.bak
cp -r /var/lib/etcd /var/lib/etcd.bak

3. 证书更新

kubeadm certs renew all          #新版本更新证书
kubeadm alpha certs renew all    #老版本更新证书

4. 更新kubeconfig

mv /etc/kubernetes/admin.conf  /root/
cp -r /root/.kube /root/.kube.bak
cp -f /etc/kubernetes/admin.conf /root/.kube/config
kubeadm init phase kubeconfig all  #更新kubeconfig

5. 验证

# 验证与组件重启，执行完上述更新证书操作后可以通过
echo | openssl s_client -showcerts -connect 127.0.0.1:6443 -servername api 2>/dev/null | openssl x509 -noout -enddate

#验证apiserver证书有效期是否更新，会发现证书有效期没有更新。此原因是k8s组件如果没有重启就不会使用新证书导致的，执行如下命令
docker rm -f $(docker ps -q -f label=io.kubernetes.container.name=kube-apiserver)
docker rm -f $(docker ps -q -f label=io.kubernetes.container.name=kube-controller-manager) 
docker rm -f $(docker ps -q -f label=io.kubernetes.container.name=kube-scheduler)
docker rm -f $(docker ps -q -f label=io.kubernetes.container.name=etcd)

#以重启k8s及etcd相关组件后，再次执行可以观察到证书有效期已经发生变化
echo | openssl s_client -showcerts -connect 127.0.0.1:6443 -servername api 2>/dev/null | openssl x509 -noout -enddate

# 注意：必须重启一下kubelet docker
systemctl restart kubelet docker

#docker重启后容器都是未运行中，请通过此命令运行所有的容器
docker start $(docker ps -a | awk '{ print $1}' | tail -n +2)

#根据容器的状态，删除Exited状态的所有容器,不然K8S的组件（etcd，kube-apiserver，kube-controller-manager，kube-scheduler）重名运行不起来
docker rm $(sudo docker ps -qf status=exited)


#此时，还是无法使用kubectl get nodes，一定要重启机器
reboot

次博客是本人测试过v1.23.8版本后，没有问题后撰写的，请大家放心操作!

[root@k8s-master ~]# kubectl get nodes
NAME         STATUS     ROLES                  AGE   VERSION
k8s-master   Ready      control-plane,master   54d   v1.23.8
k8s-node1    Ready      <none>                 54d   v1.23.8
k8s-node2    Ready      <none>                 54d   v1.23.8
[root@k8s-master ~]#

到了这里，关于k8s证书更新，kubeadm安装的K8S证书过期后无法使用后证书更新方法的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！