k8s更新证书

ascarl20102025-06-04 12:09

root@k8s-master01 \~\]# sudo kubeadm certs renew all \[renew\] Reading configuration from the cluster... \[renew\] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -o yaml' certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself renewed certificate for serving the Kubernetes API renewed certificate the apiserver uses to access etcd renewed certificate for the API server to connect to kubelet renewed certificate embedded in the kubeconfig file for the controller manager to use renewed certificate for liveness probes to healthcheck etcd renewed certificate for etcd nodes to communicate with each other renewed certificate for serving etcd renewed certificate for the front proxy client renewed certificate embedded in the kubeconfig file for the scheduler manager to use renewed certificate embedded in the kubeconfig file for the super-admin renewed Done renewing certificates. You must restart the kube-apiserver, kube-controller-manager, kube-scheduler and etcd, so that they can use the new certificates. \[root@k8s-master01 \~\]# 好的,根据提示,你已经成功更新了证书,接下来你需要重启相关的控制平面组件,以便它们加载并使用新的证书。这些组件通常作为静态 Pod (static pods) 运行在你的主节点上,由 `kubelet`直接管理。 **接下来的操作步骤:** 1. **重启 `kubelet` 服务:** 在你的主节点 (`k8s-master01`) 上,执行以下命令来重启 `kubelet` 服务。重启 `kubelet` 会使其重新启动由它管理的静态 Pod(包括 `kube-apiserver`, `kube-controller-manager`, `kube-scheduler` 和 `etcd`)。 ```bash sudo systemctl restart kubelet ``` * **如果你有多个主节点 (HA 集群):** 你需要在**每一个主节点** 上都执行 `sudo systemctl restart kubelet` 命令。 2. **验证组件是否已重启并正常运行:** 等待一两分钟,让组件有时间重新启动。然后进行检查: * **检查静态 Pod 的状态:** ```bash kubectl get pods -n kube-system ``` 查看 `kube-apiserver-k8s-master01`, `kube-controller-manager-k8s-master01`, `kube-scheduler-k8s-master01` 和 `etcd-k8s-master01` (Pod 名称中的主机名部分可能与你的节点名一致) 是否处于 `Running` 状态,并注意它们的 `AGE` 是否比较新,表明它们是最近重启的。 * **检查组件日志 (可选,用于排错):** 如果某个 Pod 没有正常启动,你可以查看它的日志: ```bash kubectl logs -n kube-system # 例如: # kubectl logs kube-apiserver-k8s-master01 -n kube-system ``` * **检查集群状态:** ```bash kubectl cluster-info kubectl get nodes ``` 确保集群API可访问,节点状态正常。 * **(重要) 再次检查证书过期时间:** 如果之前使用了 `kubeadm certs check-expiration`,可以再次运行它来确认新的证书生效并且过期时间已更新: ```bash sudo kubeadm certs check-expiration ``` 3. **更新你的 `kubectl` 配置文件 (如果需要):** 证书更新过程通常也会更新 `/etc/kubernetes/admin.conf` 文件。为了让你本地的 `kubectl` 能够使用新的凭证与集群通信,你需要将更新后的 `admin.conf` 复制到你的 `~/.kube/config`: ```bash mkdir -p $HOME/.kube sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config sudo chown $(id -u):$(id -g) $HOME/.kube/config ``` 执行完这个操作后,你可能需要退出当前 shell 会话再重新登录,或者新开一个终端,以确保新的 `kubectl` 配置生效。 **总结一下关键步骤:** * 在所有主节点上:`sudo systemctl restart kubelet` * 等待片刻,然后使用 `kubectl get pods -n kube-system` 和 `sudo kubeadm certs check-expiration` 进行验证。 * 更新你本地的 `~/.kube/config`。 操作时请务必小心,尤其是在生产环境中。如果在重启过程中遇到问题,请检查相关组件的日志以获取更详细的错误信息。

相关推荐
岁岁种桃花儿7 小时前
kubenetes从入门到上天系列第二十一篇:Kubernetes安装Ingress实战
云原生·容器·kubernetes
程序员老赵9 小时前
超全 Docker 镜像源配置指南|Windows/Mac/Linux一键搞定,拉镜像再也不卡顿
linux·后端·容器
掘根9 小时前
【微服务即时通讯】文件存储子服务
微服务·云原生·架构
一殊酒10 小时前
【Docker】Docker Desktop 安装指南及汉化教程
运维·docker·容器
0w0不秃头程序猿10 小时前
guide哥AI智能面试项目部署过程
云原生·eureka
阿里云云原生10 小时前
漫说运维:LoongCollector 性能与稳定性技术大解密
云原生
一殊酒15 小时前
【Docker】快速入门指南
运维·docker·容器
**蓝桉**15 小时前
prometheus监控docker容器(Rocky9)
docker·容器·prometheus
linux修理工15 小时前
EasyVoice 项目部署与使用指南(开源文字互转声音)
云原生·eureka
lpruoyu15 小时前
【云原生】Helm应用商店
云原生
热门推荐
01GitHub 镜像站点02Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南03OpenClaw 使用和管理 MCP 完全指南04Labelme从安装到标注:零基础完整指南05AI 编程三剑客:Spec-Kit、OpenSpec、Superpowers 深度对比与实战指南06UV安装并设置国内源07小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)08OpenClaw Control UI安全上下文访问配置09Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services10“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)