Kubernetes — 更新证书

jobcher 2022年11月15日 1 分钟阅读 k8s k8s入门系列 k8s
本页内容

背景

使用 kubeadm 安装 kubernetes 集群非常方便,但是也有一个比较烦人的问题就是默认的证书有效期只有一年时间,所以需要考虑证书升级的问题

检查证书

由 kubeadm 生成的客户端证书默认只有一年有效期,我们可以通过 check-expiration 命令来检查证书是否过期:

1kubeadm alpha certs check-expiration

该命令显示 /etc/kubernetes/pki 文件夹中的客户端证书以及 kubeadm 使用的 KUBECONFIG 文件中嵌入的客户端证书的到期时间/剩余时间

手动更新

kubeadm alpha certs renew
这个命令用 CA(或者 front-proxy-CA )证书和存储在 /etc/kubernetes/pki 中的密钥执行更新。
高可用的集群,这个命令需要在所有控制面板节点上执行

具体执行

接下来我们来更新我们的集群证书,下面的操作都是在 master 节点上进行

  1. 备份节点
1$ mkdir /etc/kubernetes.bak
2$ cp -r /etc/kubernetes/pki/ /etc/kubernetes.bak
3$ cp /etc/kubernetes/*.conf /etc/kubernetes.bak
  1. 备份 etcd 数据目录
1$ cp -r /var/lib/etcd /var/lib/etcd.bak
  1. 执行更新证书的命令
1kubeadm alpha certs renew all --config=kubeadm.yaml
  1. 检查更新
1kubeadm alpha certs check-expiration
  1. 更新下 kubeconfig 文件
1kubeadm init phase kubeconfig all --config kubeadm.yaml
  1. 覆盖掉原本的 admin 文件
1$ mv $HOME/.kube/config $HOME/.kube/config.old
2$ cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
3$ chown $(id -u):$(id -g) $HOME/.kube/config
  1. 重启 kube-apiserver、kube-controller、kube-scheduler、etcd ,查看 apiserver 的证书的有效期
1echo | openssl s_client -showcerts -connect 127.0.0.1:6443 -servername api 2>/dev/null | openssl x509 -noout -enddate

总结

可以看到现在的有效期是一年过后的,证明已经更新成功了。

JOBCHER BLOG
Kubernetes — Rook云存储介绍和部署
JOBCHER BLOG
Kubernetes — 基于K8S搭建Ceph分布式存储
JOBCHER BLOG
Kubernetes — 探针和生命周期
JOBCHER BLOG
Kubernetes — 开放标准(OCI、CRI、CNI、CSI、SMI、CPI)概述
JOBCHER BLOG
kubernetes 部署插件 (Flannel、Web UI、CoreDNS、Ingress Controller)
JOBCHER BLOG
kubernetes 存储
JOBCHER BLOG
kubernetes 从1.23.x 升级到 1.24.x
JOBCHER BLOG
编写 kubernetes 资源描述文件
JOBCHER BLOG
kubernetes manual expansion
JOBCHER BLOG
kubernetes 调度过程

打工人日志

A week is 2% of the year

Earth

点击订阅 获取最新文章