K8S证书续期

证书续签方法：

• 官方推荐：一年之内升级一次K8S集群版本
• 修改源码
• 手动更新（推荐）

查看证书过期时间

kubeadm certs check-expiration

ls /var/lib/kubelet/pki/             #证书的位置
openssl x509 -in /var/lib/kubelet/pki/kubelet-client-current.pem -noout -text | grep Not

通过脚本实现更新证书

• 该脚本用于处理已过期或者即将过期的K8S集群证书
• 该脚本适用于所有k8s版本集群证书更新（使用kubeadm初始化集群）
• ubeadm生成的证书有效期为1年，该脚本可将kubeadm生成的证书有效则更新为10年
• 该脚本只处理master节点上的节点上的证书，node节点的kubelet证书默认自动轮换更新，无需关心过期问题，只需关心master节点上的证书即可
• 若没有etcd相关的证书，只需要更新master证书即可
• 脚本仅需要在master节点上更新，无需在slave上更新

下载update-kube-cert压缩包，解压后执行update-kubeadm-cert.sh

tar xf update-kube-cert
cd update-kube-cert/
ls
chmod 755 update-kubeadm-cert.sh
./update-kubeadm-cert.sh