k8s更新证书

root@k8s-master01 \~# sudo kubeadm certs renew all

renew Reading configuration from the cluster...

renew FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -o yaml'

certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself renewed

certificate for serving the Kubernetes API renewed

certificate the apiserver uses to access etcd renewed

certificate for the API server to connect to kubelet renewed

certificate embedded in the kubeconfig file for the controller manager to use renewed

certificate for liveness probes to healthcheck etcd renewed

certificate for etcd nodes to communicate with each other renewed

certificate for serving etcd renewed

certificate for the front proxy client renewed

certificate embedded in the kubeconfig file for the scheduler manager to use renewed

certificate embedded in the kubeconfig file for the super-admin renewed

Done renewing certificates. You must restart the kube-apiserver, kube-controller-manager, kube-scheduler and etcd, so that they can use the new certificates.

root@k8s-master01 \~#

好的,根据提示,你已经成功更新了证书,接下来你需要重启相关的控制平面组件,以便它们加载并使用新的证书。这些组件通常作为静态 Pod (static pods) 运行在你的主节点上,由 kubelet直接管理。

接下来的操作步骤:

  1. 重启 kubelet 服务:

    在你的主节点 (k8s-master01) 上,执行以下命令来重启 kubelet 服务。重启 kubelet 会使其重新启动由它管理的静态 Pod(包括 kube-apiserver, kube-controller-manager, kube-scheduleretcd)。

    bash 复制代码
    sudo systemctl restart kubelet
    • 如果你有多个主节点 (HA 集群): 你需要在每一个主节点 上都执行 sudo systemctl restart kubelet 命令。
  2. 验证组件是否已重启并正常运行:

    等待一两分钟,让组件有时间重新启动。然后进行检查:

    • 检查静态 Pod 的状态:

      bash 复制代码
      kubectl get pods -n kube-system

      查看 kube-apiserver-k8s-master01, kube-controller-manager-k8s-master01, kube-scheduler-k8s-master01etcd-k8s-master01 (Pod 名称中的主机名部分可能与你的节点名一致) 是否处于 Running 状态,并注意它们的 AGE 是否比较新,表明它们是最近重启的。

    • 检查组件日志 (可选,用于排错):

      如果某个 Pod 没有正常启动,你可以查看它的日志:

      bash 复制代码
      kubectl logs <pod-name> -n kube-system
      # 例如:
      # kubectl logs kube-apiserver-k8s-master01 -n kube-system
    • 检查集群状态:

      bash 复制代码
      kubectl cluster-info
      kubectl get nodes

      确保集群API可访问,节点状态正常。

    • (重要) 再次检查证书过期时间:

      如果之前使用了 kubeadm certs check-expiration,可以再次运行它来确认新的证书生效并且过期时间已更新:

      bash 复制代码
      sudo kubeadm certs check-expiration
  3. 更新你的 kubectl 配置文件 (如果需要):

    证书更新过程通常也会更新 /etc/kubernetes/admin.conf 文件。为了让你本地的 kubectl 能够使用新的凭证与集群通信,你需要将更新后的 admin.conf 复制到你的 ~/.kube/config

    bash 复制代码
    mkdir -p $HOME/.kube
    sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
    sudo chown $(id -u):$(id -g) $HOME/.kube/config

    执行完这个操作后,你可能需要退出当前 shell 会话再重新登录,或者新开一个终端,以确保新的 kubectl 配置生效。

总结一下关键步骤:

  • 在所有主节点上:sudo systemctl restart kubelet
  • 等待片刻,然后使用 kubectl get pods -n kube-systemsudo kubeadm certs check-expiration 进行验证。
  • 更新你本地的 ~/.kube/config

操作时请务必小心,尤其是在生产环境中。如果在重启过程中遇到问题,请检查相关组件的日志以获取更详细的错误信息。

相关推荐
阿里云云原生1 天前
研发视角的新突破:当 AI Coding 工具集成全域运维诊断,排查线上故障只需 3 分钟
云原生
小猿姐2 天前
唯品会大规模数据库云原生实践:基于 KubeBlocks 管理数千实例的统一运维之路
运维·elasticsearch·云原生
阿里云云原生2 天前
AgentTeams 和 Claude Tag 都进入群聊模式,是新范式还是新叙事?
云原生·agent
阿里云云原生3 天前
Higress v2.2.3 发布:正式入驻 CNCF Sandbox,AI Gateway 与 Ingress 迁移能力双向加固
云原生
lichenyang4533 天前
Docker 学习笔记(四):Dockerfile,把项目打成自己的镜像
docker·容器
lichenyang4533 天前
Docker 学习笔记(三):Docker 网络、bridge、子网和容器互通
docker·容器
lichenyang4533 天前
Docker 学习笔记(二):docker run 的参数到底在控制什么?
docker·容器
阿里云云原生4 天前
香港站【企业 AI Agent 工程化实战专场】来啦,邀您7月9日见!
云原生·agent
阿里云云原生4 天前
研发域与运维域的“数字握手”:通过 Agentic Skills 实现 DevOps 全链路自动化
云原生
运维开发故事6 天前
基于 Arthas 的多集群在线诊断系统设计与实现
kubernetes