1.客户端访问 APIServer 证书快过期问题
prometheus rule
2.使用kubeadm certs check-expiration 查看所有证书发现全部都有1年+时间
其中 CERTIFICATE 部分为证书部分,CERTIFICATE AUTHORITY 为 ca 部分
3.vim k8s-secrets.sh
CERT_DIR=${CERT_DIR:-/etc/kubernetes/pki}
for i in $(find $CERT_DIR -name '*.crt' -o -name '*.pem'); do
echo $i
openssl x509 -enddate -in $i -noout
done
for f in $(ls /etc/kubernetes/{admin,controller-manager,scheduler}.conf); do
echo $f
kubectl --kubeconfig $f config view --raw -o jsonpath='{range .users[*]}{.user.client-certificate-data}{end}' | base64 -d | openssl x509 -enddate -noout
done
跑脚本测试证书到期时间
解决方案:
1.更新相关证书,可以使用下面命令一键更新所有证书和configuration文件
kubeadm certs renew all
2.验证证书更新效果
再检查集群相关证书情况
kubeadm certs check-expiration
相关证书的有效期已经被设置成 2024 年 4 月 2了