k8s证书过期处理方案

k8s默认的证书有效期为一年，在实际生产中，经常遇到证书过期导致的节点故障问题。 K8S集群证书过期后，会导无法创建Pod，通过kubectl get nodes也无法获取信息，甚至dashboard也无法访问。 执行命令发现报错： Unable to connect to the server: x509: certificate has expired or is not yet valid 查看K8S的日志: Part of the existing bootstrap client certificate is expired: 2022-11-9 9:29:04 +0000 UT 这是说明k8s使用的证书过期了，k8s自带证书是一年的有效期。所以我们解决问题的办法就是更换证书。 kubernetes证书过期处理流程适用于单master或多master的kubeadm安装部署方式。 Kubernetes证书管理是集群稳定运行的关键环节，当证书过期时，会导致各种操作受阻，例如无法创建Pod，kubectl命令失效，甚至是Kubernetes Dashboard无法访问。本文主要探讨的是针对kubeadm部署的Kubernetes集群中证书过期的处理流程。 识别证书过期的标志是关键。当你尝试执行`kubectl`命令时，如果出现类似“Unable to connect to the server: x509: certificate has expired or is not yet valid”的错误，这表明证书已过期或即将过期。你还可以通过查看Kubernetes的日志来确认，如果看到“Part of the existing bootstrap client certificate is expired”的信息，那就确信无疑了。 处理证书过期问题，首要任务是备份当前的证书。在Linux系统中，证书通常位于`/etc/kubernetes/pki`目录下，可以使用`cp -r`命令进行备份。这样做的目的是在更新过程中，如果出现问题，可以快速恢复到旧的状态。 更新证书的过程分为两种情况：证书还未过期和证书已经过期。 1. **证书还未过期**： 在证书有效期还剩余一段时间时，可以使用`kubeadm alpha certs renew all`命令提前更新所有证书。在这个过程中，你需要提供`kubeadm-config.yaml`配置文件，该文件包含了集群的详细配置。更新完成后，还需要更新相关的kubeconfig文件，包括`admin.conf`、`controller-manager.conf`、`kubelet.conf`和`scheduler.conf`。 2. **证书已经过期**： 如果证书已经过期，情况会复杂一些。如果还有`kubeadm-config.yaml`配置文件，你可以按照与未过期证书相同的步骤更新。如果没有这个文件，可能需要恢复到一个备份的kubeconfig文件，或者在没有配置文件的情况下，手动调整服务器时间回到证书过期前，然后重新生成配置文件。 如果你没有配置文件且无法恢复，可以考虑以下步骤： - 将`.kube`目录备份并创建新的`.kube`目录，将`admin.conf`文件复制到新目录作为kubeconfig。 - 找到或重新生成`kubeadm-config.yaml`配置文件，然后使用此文件更新证书。 - 如果找不到配置文件，可能需要通过`date`命令将服务器时间回滚到证书有效期内，然后用`kubeadm config view`生成配置文件，再执行更新步骤。 在整个证书更新过程中，监控是非常重要的。通过设置监控，可以在证书即将过期时自动提醒，避免因证书过期导致的服务中断。一旦证书过期，及时采取上述措施，确保集群的正常运行。 处理Kubernetes证书过期问题需要对证书生命周期、kubeadm工具和kubeconfig文件有深入理解。定期检查和更新证书，配合有效的监控机制，能有效防止因证书问题引发的生产环境故障。