K8S集群证书续期
# 集群证书过期续期
使用kubeadm部署的k8s集群默认证书有效期为1年,下面为手动延长证书有效期。
# 查看证书日期
kubeadm certs check-expiration
1
# 备份
每台master节点都需要执行
cp -rp /etc/kubernetes /etc/kubernetes.bak
cp -rp /var/lib/etcd /var/lib/etcd.bak
1
2
2
# 生成新的证书
kubeadm certs renew all
1
此时所有证书都已重新生成,在 /etc/kubernetes/pki下。/etc/kubernetes/admin.conf、/etc/kubernetes/controller-manager.conf、/etc/kubernetes/scheduler.conf 也已经更新了
# 将证书复制到其他master节点
scp /etc/kubernetes/pki/* master02:/etc/kubernetes/pki/
scp /etc/kubernetes/pki/etcd/* master02:/etc/kubernetes/pki/etcd/
1
2
2
再次查看证书
kubeadm certs check-expiration
1
# 重启组件
集群每台master节点都需要操作,一定要重启 docker 或 containerd 容器,否则kubectl delete pod 不生效。
docker ps | grep -E 'k8s_kube-apiserver|k8s_kube-controller-manager|k8s_kube-scheduler|k8s_etcd_etcd' | awk -F ' ' '{print $1}' | xargs docker restart
1
# 更新config
此时kubectl 报权限问题,无法执行(每台master都要操作)
cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
1
2
2
# 重启kubelete
systemctl restart kubelet
1