当前位置:首页 > 随笔 > 正文内容

Kubernetes 证书过期续签完整指南

访客 随笔 2026年7月4日 1

问题发现:kubectl 连接失败

当执行 kubectl 命令时,出现证书过期提示:

# kubectl version
Client Version: version.Info{Major:"1", Minor:"19", GitVersion:"v1.19.4", GitCommit:"d360454c9bcd1634cf4cc52d1867af5491dc9c5f", GitTreeState:"clean", BuildDate:"2020-11-11T13:17:17Z", GoVersion:"go1.15.2", Compiler:"gc", Platform:"linux/amd64"}
Unable to connect to the server: x509: certificate has expired or is not yet valid: current time 2022-08-10T20:36:58+08:00 is after 2022-03-23T13:56:31Z

错误信息明确显示当前时间已超过证书有效期。

检查证书状态

使用 kubeadm 工具查看所有证书的过期状态:

# kubeadm alpha certs check-expiration
[check-expiration] Reading configuration from the cluster...
CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
admin.conf                 Mar 23, 2022 13:56 UTC   <invalid>                               no      
apiserver                  Mar 23, 2022 13:56 UTC   <invalid>       ca                      no      
apiserver-etcd-client      Mar 23, 2022 13:56 UTC   <invalid>       etcd-ca                 no      
apiserver-kubelet-client   Mar 23, 2022 13:56 UTC   <invalid>       ca                      no      
controller-manager.conf    Mar 23, 2022 13:56 UTC   <invalid>                               no      
etcd-healthcheck-client    Mar 23, 2022 13:56 UTC   <invalid>       etcd-ca                 no      
etcd-peer                  Mar 23, 2022 13:56 UTC   <invalid>       etcd-ca                 no      
etcd-server                Mar 23, 2022 13:56 UTC   <invalid>       etcd-ca                 no      
front-proxy-client         Mar 23, 2022 13:56 UTC   <invalid>       front-proxy-ca          no      
scheduler.conf             Mar 23, 2022 13:56 UTC   <invalid>                               no      

CERTIFICATE AUTHORITY   EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
ca                      Mar 21, 2031 13:56 UTC   8y              no      
etcd-ca                 Mar 21, 2031 13:56 UTC   8y              no      
front-proxy-ca          Mar 21, 2031 13:56 UTC   8y              no      

可以看到所有证书均已过期,但 CA 证书仍然有效(有效期长达 8 年)。

续签所有证书

执行以下命令批量续签证书:

# kubeadm alpha certs renew all

再次验证证书状态:

# kubeadm alpha certs check-expiration
CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
admin.conf                 Aug 10, 2023 12:39 UTC   364d                                    no      
apiserver                  Aug 10, 2023 12:39 UTC   364d            ca                      no      
apiserver-etcd-client      Aug 10, 2023 12:39 UTC   364d            etcd-ca                 no      
apiserver-kubelet-client   Aug 10, 2023 12:39 UTC   364d            ca                      no      
controller-manager.conf    Aug 10, 2023 12:39 UTC   364d                                    no      
etcd-healthcheck-client    Aug 10, 2023 12:39 UTC   364d            etcd-ca                 no      
etcd-peer                  Aug 10, 2023 12:39 UTC   364d            etcd-ca                 no      
etcd-server                Aug 10, 2023 12:39 UTC   364d            etcd-ca                 no      
front-proxy-client         Aug 10, 2023 12:39 UTC   364d            front-proxy-ca          no      
scheduler.conf             Aug 10, 2023 12:39 UTC   364d                                    no      

CERTIFICATE AUTHORITY   EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
ca                      Mar 21, 2031 13:56 UTC   8y              no      
etcd-ca                 Mar 21, 2031 13:56 UTC   8y              no      
front-proxy-ca          Mar 21, 2031 13:56 UTC   8y              no      

所有证书已成功续签至一年后。

重启关键组件容器

需要重启 API Server、Scheduler 和 Controller Manager 容器以加载新证书:

# 查找容器 ID
docker ps | grep apiserver
docker ps | grep scheduler
docker ps | grep controller-manager

# 重启容器
docker restart <container-id>

根据实际输出中的容器 ID 执行重启操作。

更新 kubectl 配置

复制新生成的 admin.conf 到默认配置路径:

cp /etc/kubernetes/admin.conf ~/.kube/config

更新 kubelet 证书

kubelet 的证书需要手动更新,进入证书目录:

cd /var/lib/kubelet/pki/

查看当前证书信息:

openssl x509 -in kubelet.crt -text -noout

生成新的 kubelet 密钥和证书:

# 生成新的私钥
openssl genrsa -out kubelet.key 2048

# 使用 CA 签署新的证书
openssl x509 -req -in kubelet.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -out kubelet.crt -days 3600 -CAcreateserial

创建 PEM 格式证书文件:

cat kubelet.crt > kubelet-client-2021-03-23-21-56-34.pem
cat kubelet.key >> kubelet-client-2021-03-23-21-56-34.pem

获取 CA 证书的 Base64 编码:

cat /etc/kubernetes/pki/ca.crt | base64

更新 kubelet 配置(/etc/kubernetes/kubelet.conf)中的 certificate-authority-data 字段为新 Base64 编码。

最后重启 kubelet 服务:

systemctl restart kubelet
systemctl status kubelet

相关文章

可以按小时收费的VPS

很多 VPS 提供商都支持 按小时计费(hourly billing),想短期试用 / 临时搭建节点、测试网络、短期项目等场景非常合适。下面是当前最主流且靠谱的按小时 VPS 选项,分别按不同需求场景整理: 1. Vultr(全球节点,包括日本) 按小时计费 可选机房:东京 / 大阪 / 洛杉矶 / 法兰克福 / 伦敦 … 支持 PayPal(部分情况),但更常用信用卡/PayPal+卡价格参考$...

在 iPhone 上下载国外App

地区/国家限制App Store 会根据 Apple ID 的国家或地区限制应用下载。如果你的 Apple ID 绑定的是中国大陆,就可能无法下载 OpenAI 官方的 ChatGPT 应用,因为它在大陆 App Store 不上架。解决办法:换成美国、加拿大、香港等地区的 Apple ID。或者在现有 Apple ID 上更改地区。注册一个国外 Apple ID(推荐)比如注册 美国区 Appl...

Node.js 中的异步编程:回调与 Promise

Node.js 是一个基于 JavaScript 构建的单线程、非阻塞运行环境,它通过异步编程机制来高效处理多个操作。在执行如文件读取、API 请求或数据库查询等任务时,Node.js 不会等待这些操作完成,而是使用回调函数和 Promise 来避免阻塞主线程。 回调方式实现异步 那么当异步操作完成后,Node.js 如何知道接下来要做什么呢?这就要用到 回调函数(callback)。 回调本质上...

Selenium自动化测试入门指南

Selenium自动化测试入门指南

什么是自动化测试? 自动化测试是指利用软件工具自动执行测试用例,模拟用户操作,如打开网页、点击链接、输入文本等,并验证结果是否符合预期。 其主要优点包括: 大幅减少人工成本 测试速度快 可以在非工作时间运行 支持持续集成和交付 然而,它也存在一些局限性,例如开发成本较高、不适合快速变化的项目、依赖稳定的UI界面等。 自动化测试的应用条件 适合引入自动化测试的情况包括: 手动测试耗时且需要大量...

MariaDB Galera集群故障快速恢复指南

OpenStack控制节点采用三节点MariaDB Galera集群架构。当数据库集群因故障重启时,有时会出现Galera集群无法正常启动的问题。虽然有多种方法可以恢复数据库服务,但如何实现快速启动同时确保数据完整性呢? 通过分析日志发现,MariaDB Galera集群节点宕机时会在日志中输出以下信息: [Note] WSREP: 新集群视图:全局状态: 874d8e7e-5980-11e8-8...

Android 中 EventBus 的通信机制与实现原理深度解析

EventBus 核心设计思想 EventBus 是一个基于观察者模式的事件总线框架,广泛应用于 Android 平台以实现组件解耦。它通过中心化的消息分发机制,使不同层级、不同线程的对象能够以"发布-订阅"方式通信,避免了传统接口回调或广播带来的强依赖问题。 核心角色说明 事件(Event):任意 Java 对象,作为数据载体,如网络状态变更通知、用户登录信息等。 发布者(Publi...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。