1、查看证书时间
[root@2dot241 ]# for i in /etc/kubernetes/pki/*.crt;do echo $i; openssl x509 -in $i -text -noout|egrep "Not Before|Not After";echo "-----------";done
2、备份原证书、更新证书(如果有多个master、需要拷贝证书到其他master)、替换原config文件
[root@2dot241 ~]# cp -r /etc/kubernetes/pki /etc/kubernetes/pki.old
[root@2dot241 ~]# kubeadm alpha certs renew all --config=./kubeadm-config.yaml #(后面--config可不加)
[root@2dot241 ~]# cp /etc/kubernetes/admin.conf ~/.kube/config
完成后docker restart 重启 kube-apiserver kube-controller kube-scheduler 这3个容器
再次查看,注意月份是发生了变化的,默认也是更新当前至一年后的时间
# 有些情况下可能只更新了apiserver的证书、如下图(因为我使用了外部etcd集群,导致检测etcd证书没检测到就退出了更新证书),front-proxy-client和apiserver-kubelet-client这两个证书可能没更新到,如果出现这种情况单独在更新下就好 使用命令同上,只不过all变成了单独的某一个证书
[root@2dot241 ~]# kubeadm alpha certs renew front-proxy-client --config=./kubeadm-config.yaml
[root@2dot241 ~]# kubeadm alpha certs renew apiserver-kubelet-client --config=./kubeadm-config.yaml
网友评论