adm方式安装的k8s部分组件的证书默认是一年到期,可通过以下命令查询过期时间
for i in `ls /etc/kubernetes/pki/*.crt`
do
openssl x509 -in $i -text -noout | grep 'Not After'
done
或
openssl x509 -in /etc/kubernetes/pki/apiserver.crt -text -noout | grep 'Not After'
规避此问题的方法
1、源码修改证书时间
2、更新证书
3、每年更新一次k8s系统,证书会自动更新
更新证书为10年
备份原有文件
mv /usr/bin/kubeadm /usr/bin/kubeadm.old
cp -a /etc/kubernetes/pki /etc/kubernetes/pki.old
下载已编译好的kubeadm-cert10y文件到/usr/bin/目录下,并更改权限,云盘备份https://pan.baidu.com/s/11jXbbYh69vfN01AOGnIJUA
mv /usr/bin/kubeadm-cert10y /usr/bin/kubeadm
chmod 755 /usr/bin/kubeadm
更新证书,此处kubeadm-config.yaml为当初安装k8s时的配置文件
kubeadm alpha certs renew all --config=/data/k8s/kubeadm-config.yaml
查看证书是否更新成功
for i in `ls /etc/kubernetes/pki/*.crt`
do
openssl x509 -in $i -text -noout | grep 'Not After'
done