快速搞定K8S新老版本的证书续期问题

 更新时间:2026年01月24日 10:32:10   作者:龙飞05  
本文介绍了Kubernetes集群证书续期的步骤,包括更新证书、替换CCNA证书、重启相关组件以及验证新证书的有效性

新版本-1.21以上版本集群证书续期

# 当对k8s集群版本进行了升级之后它的证书会自动更新
# 查看有效期
kubeadm certs check-expiration
# 证书续期
kubeadm certs renew all #可以针对单个集群组件进行升级
# 执行完上条命令之后需要对api controller-manager scheduler进行重启
docker ps | grep -v pause | grep -E "etcd|scheduler|controller|apiserver" | awk '{print $1}' | awk '{print "docker","restart",$1}' | bash
# 修改config文件
cp /etc/kubernetes/admin.conf /root/.kube/config
#编译kubeadm的方式延长证书有效期
100年修改golang源码,在kubeadm init之前进行编译,二进制文件
# k8s自动对证书进行续期

老版本k8s的证书续期

  • # master节点
  • # 更新证书
kubeadm alpha certs renew all
kubeadm alpha certs check-expiration
  • # 重新生成证书
kubeadm init phase certs all --config /etc/kubernetes/kubeadm-config.yaml
kubeadm init phase kubeconfig all --config /etc/kubernetes/kubeadm-config.yaml
\# kubeadm init phase kubeconfig admin --kubeconfig-dir=/etc/kubernetes/
\# kubeadm init phase kubeconfig controller-manager --kubeconfig-dir=/etc/kubernetes/
\# kubeadm init phase kubeconfig scheduler --kubeconfig-dir=/etc/kubernetes/
\# kubeadm init phase kubeconfig kubelet --config /etc/kubernetes/kubeadm-config.yaml
  • # 检查新证书的 SAN 列表
openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text | grep -A1 "Subject Alternative Name"
openssl x509 -in /etc/kubernetes/pki/etcd/server.crt -noout -text | grep -A1 "Subject Alternative Name"

tar czvf pki.tar.gz pki/*
  • # 启动一个 HTTP 服务器来提供证书文件
python3 -m http.server 8080

sudo -i
cd /etc/kubernetes/
rm -rf /etc/kubernetes/pki
rm -f /etc/kubernetes/{admin.conf,controller-manager.conf,scheduler.conf,kubelet.conf,pki.tar.gz}
wget http://10.116.0.6:8080/{admin.conf,controller-manager.conf,scheduler.conf,kubelet.conf,pki.tar.gz}
tar xf pki.tar.gz

docker restart $(docker ps -q -a -f "name=kube-controller-manager|kube-scheduler")
docker restart $(docker ps -q -a -f "name=kube-apiserver|kube-controller-manager|kube-scheduler|etcd")

cp /etc/kubernetes/admin.conf $HOME/.kube/config

rm -fr /var/lib/kubelet/pki.bak
mv /var/lib/kubelet/pki /var/lib/kubelet/pki.bak
systemctl restart kubelet
systemctl status kubelet

kubectl get csr # 查看未批准的 CSR
kubectl certificate approve <CSR-NAME>
kubectl certificate approve $(kubectl get csr | grep Pending | awk '{print $1}')
  • # 替换 ccalico 证书
POD_CIDR=`grep 'cluster-cidr' /etc/kubernetes/manifests/kube-controller-manager.yaml | awk -F= '{print $2}'`

sed '/CALICO_IPV4POOL_CIDR/{n;s#".*"#"'$POD_CIDR'"#}' calico-etcd.yaml -i

sed -i 's/# \(etcd-.*\)/\1/' calico-etcd.yaml
etcd_key=$(cat /etc/kubernetes/pki/etcd/peer.key | base64 -w 0)
etcd_crt=$(cat /etc/kubernetes/pki/etcd/peer.crt | base64 -w 0)
etcd_ca=$(cat /etc/kubernetes/pki/etcd/ca.crt | base64 -w 0)
sed -i -e 's/\(etcd-key: \).*/\1'$etcd_key'/' \
  -e 's/\(etcd-cert: \).*/\1'$etcd_crt'/' \
  -e 's/\(etcd-ca: \).*/\1'$etcd_ca'/' calico-etcd.yaml

ETCD=$(grep 'advertise-client-urls' /etc/kubernetes/manifests/etcd.yaml | awk -F= '{print $2}')
sed -i -e 's@\(etcd_endpoints: \).*@\1"'$ETCD'"@' \
  -e 's/\(etcd_.*:\).*#/\1/' \
  -e 's/replicas: 1/replicas: 2/' calico-etcd.yaml

kubectl delete -f calico-etcd.yaml --grace-period=0 --force
kubectl apply -f calico-etcd.yaml
  • # node 节点
  • # 更新证书
sudo -i
cd /etc/kubernetes/
rm -fr /etc/kubernetes/{bootstrap-kubelet.conf,kubelet.conf,pki/*}
wget http://10.116.0.7:8080/{bootstrap-kubelet.conf,kubelet.conf}
wget http://10.116.0.7:8080/pki/ca.crt -O pki/ca.crt
  • # 重启 kubelet
rm -fr /var/lib/kubelet/pki.bak
mv /var/lib/kubelet/pki /var/lib/kubelet/pki.bak
systemctl restart kubelet
systemctl status kubelet
  • # 重启 kube-proxy
kubectl delete pod -n kube-system -l k8s-app=kube-proxy

# 重启 docker

sudo -i
cd /etc/kubernetes/
systemctl restart docker
  • # 重启 coredns
  • # 删除现有 Token 的 Secret,Kubernetes 会自动生成新 Token
  • # 查找 CoreDNS ServiceAccount 关联的 Secret
kubectl get secrets -n kube-system | grep coredns-token
  • # 删除旧 Secret(例如 coredns-token-xxxxx)
kubectl delete secret -n kube-system coredns-token-xxxxx
kubectl scale -n kube-system deployment/coredns --replicas=0
  • # 测试新 Token 是否有效
TOKEN=$(kubectl get secret coredns-token-45r8t -n kube-system -o jsonpath='{.data.token}' | base64 -d)
\# curl -k -H "Authorization: Bearer $TOKEN" https://kubernetes.default.svc.cluster.local/api/v1/namespaces
curl -k -H "Authorization: Bearer $TOKEN" https://10.116.0.6:6443/api/v1/namespaces

总结

以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。

相关文章

  • Kubernetes集群环境初始化

    Kubernetes集群环境初始化

    这篇文章介绍了Kubernetes集群环境初始化的方法,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2022-04-04
  • 云原生技术kubernetes(K8S)简介

    云原生技术kubernetes(K8S)简介

    这篇文章主要介绍了云原生技术kubernetes的相关资料,帮助大家更好的理解和学习使用K8S,感兴趣的朋友可以了解下
    2021-03-03
  • k8s部署问题解决方案(节点状态为 NotReady)

    k8s部署问题解决方案(节点状态为 NotReady)

    kubectl get nodes显示节点NotReady,因kube-flannel镜像拉取失败,手动拉取镜像并修改名称版本后,K8s自动重试,最终恢复节点状态为Ready,相关Pod也变为Running
    2025-07-07
  • Rainbond云原生快捷部署生产可用的Gitlab步骤详解

    Rainbond云原生快捷部署生产可用的Gitlab步骤详解

    这篇文章主要为大家介绍了Rainbond云原生快捷部署生产可用的Gitlab步骤详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2022-04-04
  • K8s Service服务发布方式

    K8s Service服务发布方式

    文章介绍了Kubernetes中标签(Label)用于资源分组,标签选择器(Selector)用于精准匹配;Service作为服务抽象,通过标签选择器关联Pod,提供稳定访问入口(ClusterIP/NodePort);Endpoint记录Pod网络信息,实现服务发现与流量分发
    2025-08-08
  • k8s暴露服务之Ingress环境部署实践

    k8s暴露服务之Ingress环境部署实践

    文章介绍了如何部署ingress控制器ingress-nginx,包括下载部署文件、修改镜像地址、上传文件、应用资源以及解决pod状态异常的问题
    2026-01-01
  • OSS获取阿里云的bucket和endpoint实现方式

    OSS获取阿里云的bucket和endpoint实现方式

    本文介绍了获取阿里云OSS的bucket和endpoint的方法,这两个参数决定了文件的最终访问地址,bucket是OSS项目名称,endpoint是存储服务器位置,此外,还提到了OSS的文件管理与域名管理功能
    2026-03-03
  • K8s环境内部的服务如何注册到外部

    K8s环境内部的服务如何注册到外部

    文章主要讨论了在K8s环境外部部署服务时如何与部署在K8s内部的服务进行服务注册,提出了使用LoadBalancer、Kong和NodePort三种方式,并详细介绍了每种方式的实现步骤和注意事项
    2026-02-02
  • k8s容器放开锁内存限制问题

    k8s容器放开锁内存限制问题

    nccl-test容器运行mpirun时因NCCL_BUFFSIZE过大导致OOM,需通过修改docker服务配置文件,将LimitMEMLOCK设为infinity并重启docker,以解除内存锁定限制
    2025-09-09
  • K8s中Pod处于Pending状态的八种原因分析

    K8s中Pod处于Pending状态的八种原因分析

    文章详细介绍了Pod处于Pending状态的八种常见原因,并提供了相应的排查和解决方法,这些原因包括资源不足、调度约束、存储依赖、镜像问题、配额限制、网络暗礁、系统级异常以及冷门陷阱,每种原因都附带了具体的诊断方法和解决建议,感兴趣的朋友一起看看吧
    2025-02-02

最新评论