K8s证书过期处理：续签与操作指南

在Kubernetes（k8s）环境中，证书的有效期通常为一年，这可能会在生产环境中引发节点故障，尤其是在使用kubeadm部署时。当遇到证书过期导致的"Unable to connect to the server: x509: certificate has expired or is not yet valid"错误时，需要采取以下步骤来解决： 1. **确认问题**: - 查看节点日志中的提示，例如："Part of the existing bootstrap client certificate is expired: 2022-11-9 9:29:04 +0000 UT"，这表明k8s证书确实已过期。 2. **检查证书状态**: - 使用命令行工具，如`openssl`检查证书的有效日期，如`find /etc/kubernetes/pki-name "*.crt" | xargs -I {} openssl x509 -in {} -noout -dates | grep -notAfter`，以确定确切的过期时间。 3. **备份当前证书**: - 在操作前，备份现有证书文件以防意外，例如`cp -r /etc/kubernetes /etc/kubernetes.bak`。 4. **证书更新流程**: - **场景一：证书未过期**: - 使用`kubeadm alpha certs renew-all --config kubeadm-config.yaml`命令更新所有证书。 - 使用`kubeadm alpha kubeconfig user --client-name=admin`等命令为管理员和不同角色（如kube-controller-manager, kube-scheduler, system:node:$(hostname)）生成新的配置文件，替换旧的`/etc/kubernetes`目录下的配置。 - **场景二：证书已过期**: - 如果没有定期监控或处理证书，需要先恢复服务然后更新： - **有配置文件**的情况下，按照步骤1中的方法更新证书，然后替换配置文件。 - **无配置文件**的情况下，首先确保集群服务运行正常，然后进行证书更新，并根据集群的配置结构（如果有）将新证书应用到相应的服务配置中。 5. **证书管理与预防**: - 建立证书监控机制，以便在证书即将到期前自动化处理，防止服务中断。 - 在生产环境中，定期更新证书是必要的运维任务，可以通过自动化脚本或者定时任务来实现。 总结来说，处理k8s证书过期的关键步骤包括确认证书状态、备份现有证书、更新证书并替换相关配置文件。定期检查和自动化的证书管理是保障k8s集群稳定运行的重要环节。在多master的kubeadm部署中，这个过程可能需要更复杂的操作，但遵循以上步骤可以有效避免证书过期带来的问题。