Kubernetes 证书续期指南:使用 update-kube-cert 工具
项目基础介绍
update-kube-cert 是一个专为解决 Kubernetes 集群证书过期问题而设计的开源工具。它能够将通过 kubeadm
初始化生成的默认有效期为一年的证书扩展至十年。此工具兼容所有 Kubernetes 版本,对集群管理者来说是管理证书生命周期的强大助手。
主要编程语言:
- Shell
关键技术和框架
- Shell 脚本:项目的核心是一个 Shell 脚本,负责自动化执行证书续期过程。
- Kubernetes API 和 kubeadm 命令行工具间接交互,无需直接集成任何特定框架,但依赖于其命令来识别和更新证书。
准备工作与详细安装步骤
步骤 1:环境准备
确保您拥有一个正在运行的 Kubernetes 集群,且有权限访问集群的所有节点,特别是主节点。还需确认已安装 kubectl
和 kubeadm
工具,并保证它们的版本与您的集群相匹配。
步骤 2:下载脚本
打开终端,通过 Git 克隆项目到本地:
git clone https://github.com/yuyicai/update-kube-cert.git
cd update-kube-cert
给予执行权限:
chmod 755 update-kube-cert.sh
步骤 3:了解运行参数
- 对于使用 Docker 作为容器运行时的集群,直接运行续期命令即可。
- 若使用的是其他容器运行时(如 ContainerD),需加上
--cri containerd
参数。
步骤 4:执行证书续期
单一或多个主节点
在每个主节点上执行以下命令,以进行证书续期。如果集群只有一个主节点,则直接执行:
./update-kube-cert.sh all
对于多主节点集群,在每个主节点重复以上命令。如果是非 Docker 运行时,应使用:
./update-kube-cert.sh all --cri containerd
注意事项
- 在执行证书更新之前,请确保已经备份了
/etc/kubernetes
目录,以防万一。 - 续期过程中,脚本会自动重启必要的 Kubernetes 组件,这会导致短暂的服务中断。
- 如果遇到问题,检查日志并利用备份回滚到旧证书配置。
步骤 5:验证证书更新
续期后,可以通过查看证书详情确认有效期已被延长:
ls -l /etc/kubernetes/pki/
随后,可以逐一检查证书的过期日期,确保它们现在有一个更长的有效期限。
结语
通过遵循上述简单步骤,您可以有效地管理 Kubernetes 集群中的证书生命周期,避免因证书到期导致的潜在服务中断。记住,安全管理和定期维护是保持集群稳定性的关键。