K8S-kubeadm-集群证书续签

ETCD证书

自签证书颁发机构(CA)

ca.crt

ca.key

 

 

etcd集群中相互通信事业的客户端证书

peer.crt

peer.key

 

 

pod中定义Liveness探针事业的客户端证书

healthcheck-client.crt

healrhcheck-client.key

 

 

etcd节点服务端证书：

server.crt

server.key

 

 

K8S证书

自签证书颁发机构（CA）

ca.crt

ca.key

 

 

apiserver组件服务端证书

apiserver.crt

apiserver.key

 

 

apiserver连接etcd客户端证书

apiserver-client.crt

apiserver-client.key

 

 

apiserver访问kubelet客户端证书

apiserver-kubelet.crt

apiserver-kubelet.key

 

 

汇聚层（aggregator）证书

front-proxy-cat.crt

front-proxy-cat.key

 

 

代理端使用的客户端证书，左作用代理用户与kube-apiserver认证

front-proxy-client.crt

front-proxy-client.key

 

 

kubelet证书：已默认启用自动轮转

检查客户端证书过期时间

?

1	kubeadm alpha certs check-expiration

续签所有证书

?

1 2	kubeadm alpha certs renew all cp /etc/kubernetes/admin.conf /root/.kube/config  #需要手工去拷贝新生产的控制文件

续签证书后需要重启服务，使apiserver重新加载生效

可以将/etc/kubernetes/manifests/  kube开头的yaml文件移走几十秒再移动回去

查看当前目录所有证书有效时间

?

1 2 3

cd /etc/kubernetes/pki/           #证书存放路径 ls | grep crt | xargs -I {} openssl x509 -text -in {} | grep Not   #查看所有的证书时间 openssl x509 -text -in ca.crt | grep Not    # 查看某个证书的有效时间

kubeadm部署的集群证书有效期一年，一年后证书过期就影响业务了

解决方法：

1、官方推荐：一年之内升级一次集群版本，命令：kubeadm upgrade

2、民间方法：修改源代码，再编译生成kubeadm

3、kubeadm手工更新证书

证书存放路径：/etc/kubernetes/pki/

kubelet证书：用于连接apiserver使用的，会自动颁发和更新过期时间

存储位置在节点上的：/var/lib/kubelet/pki/

?

1 2 3

[root@node-1 ~]# cd /var/lib/kubelet/pki/ && ls kubelet-client-2020-08-01-00-48-19.pem  kubelet-client-current.pem  kubelet.crt  kubelet.key [root@node-1 pki]#