Kubernetes 证书续期工具：update-kube-cert 使用指南及问题解答

Kubernetes 证书续期工具：update-kube-cert 使用指南及问题解答

update-kube-cert K8s 集群证书过期处理，更新 kubeadm 生成的证书有效期为 10 年。支持全部版本。 项目地址: https://gitcode.com/gh_mirrors/up/update-kube-cert

项目基础介绍

update-kube-cert 是一个专为了解决 Kubernetes 集群中证书过期问题的开源工具。它能够将通过 kubeadm 初始化生成的有效期仅为一年的证书延长至十年，兼容所有 Kubernetes 版本。此项目由 Yuyicai 开发并维护，采用 MIT 许可证，使得社区可以自由地使用、修改和分发。

主要编程语言：Shell 脚本（bash），适用于处理 Kubernetes 的证书管理任务。

新手使用注意事项

注意事项 1：确保环境兼容性

问题：部分Linux发行版中的sh可能不指向bash，导致脚本执行失败。 解决步骤：

• 在运行脚本之前，确认你的系统中默认的shell是否是bash，或直接使用bash update-kubeadm-cert.sh来避免兼容性问题。
• 如果需要，可以通过#!/bin/bash而非简单的#!/bin/sh在脚本顶部指定解释器，确保跨系统的一致性。

注意事项 2：备份重要文件

问题：在执行证书更新前，未进行必要的数据备份。 解决步骤：

• 在执行任何更改之前，备份 /etc/kubernetes/pki 目录下的所有证书文件以及配置文件，以防操作失误导致原始证书丢失。
• 可以通过命令如 cp -rp /etc/kubernetes/pki /etc/kubernetes/pki_bak 来创建备份。

注意事项 3：手动重启控制平面Pods

问题：不了解如何正确重启控制平面Pods以应用新证书。 解决步骤：

• 运行脚本后，由于某些组件不支持动态证书重载，需手动管理静态Pods。具体方法包括：
  1. 找到位于 /etc/kubernetes/manifests/ 下的相关Pod的manifest文件。
  2. 暂时移走这些文件（例如，移动到其他目录或重命名）。
  3. 等待约20秒，kubelet会自动终止对应的Pod。
  4. 将manifest文件移回原位置，kubelet将会重新创建Pod并加载新的证书。

通过遵循上述指南，新手用户可以更安全、有效地利用 update-kube-cert 工具来管理他们的 Kubernetes 集群证书，避免因证书过期带来的服务中断。

update-kube-cert K8s 集群证书过期处理，更新 kubeadm 生成的证书有效期为 10 年。支持全部版本。 项目地址: https://gitcode.com/gh_mirrors/up/update-kube-cert