K8s证书过期后重新生成证书(1.15+版本)
最近在使用kubectl管理本地测试k8s集群时报错(k8s Unable to connect to the server: x509: certificate has expired or is not yet valid),首先想到的是服务部属已经挺久了应该是证书过期导致,一番网络大法后操作记录如下。最前面当然是先备份 /etc/kubernetes 目录cp -Ra /etc/kubern
最近在使用kubectl管理本地测试k8s集群时报错(k8s Unable to connect to the server: x509: certificate has expired or is not yet valid),首先想到的是服务部属已经挺久了应该是证书过期导致,一番网络大法后操作记录如下。
最前面当然是先备份 /etc/kubernetes 目录
cp -Ra /etc/kubernetes /tmp/kubernetes-backup
在操作之前可以使用以下命令查看证书时间,k8s证书都放在/etc/kubernetes/pki目录下
openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not '
或者
kubeadm certs check-expiration
一、首先是使用以下命令生成新证书(新版本不需要删除旧证书)
kubeadm certs renew all
二、重新生成配置文件
kubeadm init phase kubeconfig all
cp /etc/kubernetes/admin.conf ~/.kube/config
三、重启kubelet
systemctl restart kubelet
至此更新完成,如果更新后发现服务不可写(表现为提交了更改但服务没更新)Master节点无法加入和授权失败等错误,可重启Docker相关容器(apiserver scheduler controller-manager),通过kubectl get pods -A 可以查看这几个POD是否重启过,我是停止服务后通过Docker删除相关容器来重启的,修改相关YML文件感觉不起作用,有更好的方法可以告诉我。
云上的k8s估计就不用我们担心,一般设置了自动更新证书的配置。
备注:
查看证书日期
kubeadm certs check-expiration
更多推荐
所有评论(0)