最近在使用kubectl管理本地测试k8s集群时报错（k8s Unable to connect to the server: x509: certificate has expired or is not yet valid），首先想到的是服务部属已经挺久了应该是证书过期导致，一番网络大法后操作记录如下。

最前面当然是先备份 /etc/kubernetes 目录

cp -Ra /etc/kubernetes /tmp/kubernetes-backup

在操作之前可以使用以下命令查看证书时间，k8s证书都放在/etc/kubernetes/pki目录下

openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not '

或者

kubeadm certs check-expiration

一、首先是使用以下命令生成新证书（新版本不需要删除旧证书）

kubeadm certs renew all

二、重新生成配置文件

kubeadm init phase kubeconfig all
cp /etc/kubernetes/admin.conf ~/.kube/config

三、重启kubelet

systemctl restart kubelet

至此更新完成，如果更新后发现服务不可写（表现为提交了更改但服务没更新）Master节点无法加入和授权失败等错误，可重启Docker相关容器（apiserver scheduler controller-manager），通过kubectl get pods -A 可以查看这几个POD是否重启过，我是停止服务后通过Docker删除相关容器来重启的，修改相关YML文件感觉不起作用，有更好的方法可以告诉我。
云上的k8s估计就不用我们担心，一般设置了自动更新证书的配置。

备注：

查看证书日期

kubeadm  certs check-expiration