当前位置：首页 > news >正文

k8s 证书更新

news 2025/12/15 8:13:27

如何使用脚本更新Kubernetes集群证书

引言

Kubernetes集群中，由kubeadm初始化的证书有效期默认为一年。当这些证书接近或已经超过有效期时，它们必须被更新以保证集群的正常运作。本文将介绍如何使用特定脚本来更新这些证书，将它们的有效期延长至十年。

准备工作

在开始之前，请确保你的环境满足以下条件：

已经安装了git，以便能够从GitHub克隆脚本。
你的Kubernetes集群是由kubeadm初始化的。
你有足够的权限在master节点上执行操作。

拉取更新证书脚本

打开终端，执行以下命令来拉取脚本：

yum install git

git clone https://github.com/yuyicai/update-kube-cert.git

cd update-kube-cert

chmod 755 update-kubeadm-cert.sh

更新证书

接下来，使用以下命令更新证书。如果集群使用的是containerd作为容器运行时，记得加上--cri containerd参数；否则，使用默认的docker运行时。

./update-kubeadm-cert.sh all --cri docker

请注意，执行命令时应当使用./或bash来调用脚本，避免直接使用sh，以防在某些Linux发行版中因sh并非指向bash而引发的不兼容问题。

处理控制面Pods

执行完更新命令后，需要重启控制面的Pods。这是因为动态证书重载尚未被所有组件支持，所以手动重启是必要的。具体操作是将位于/etc/kubernetes/manifests/目录下的Pod清单文件临时移除，等待约20秒（取决于fileCheckFrequency值），然后将文件放回原处。这样kubelet将会终止和重新创建Pod，完成证书的更新。

输出示例与确认

执行更新后，脚本会输出类似的信息，列出已更新的证书和配置文件及其新的到期日期。例如：

此外，脚本还会记录备份和更新过程的日志，包括重启etcd、apiserver、controller-manager、scheduler等组件的信息，以及kubelet的重启。

总结

通过以上步骤，你可以成功地更新Kubernetes集群的证书，避免由于证书过期导致的集群不可用问题。记得在多master节点环境中，需要在每个master节点上重复执行上述步骤。

最后，确保检查更新后的集群状态，以验证更新过程是否成功，避免任何潜在的问题影响集群的稳定性和可用性。

参考资料

Kubernetes官方文档 - kubeadm证书手动更新

kubeadm certs renew all

通过以上指南，你可以有效地管理和维护Kubernetes集群的证书生命周期，确保集群的长期稳定运行。