更新证书需要重启服务才能生效(证书已经过期和还未过期都要重启才能生效),重启会对业务产生影响,请申请时间窗口进行处理
注意该工具只适用于k8s版本v1.18.5、请按照服务器架构选择对应的版本
相关说明:
证书到期后 kube-scheduler 和 kube-controoler-manager 会出现异常,原先已经运行的Pod还能工作,当Pod出现异常重启或是被删除后无法自动重建。证书更新后需要重启 master 的 静态 Pods。因为动态证书重载目前还不被所有组件和证书支持,所有这项操作是必须的。 静态 Pods 是被本地 kubelet 而不是 API Server 管理, 所以 kubectl 不能用来删除或重启他们。
证书更新需要在所有k8s节点操作,使用定制的 kubeadm 工具更新证书,请按照以下步骤执行:
1.下载定制的 kubeadm 二进制文件,并上传到服务器,下载链接如下:
2.master节点执行如下命令,查看 k8s 组件证书有效期,RESIDUAL TIME 为 “invalid” 则表示已过期,如果没过期也可以提前续约;
kubeadm alpha certs check-expiration3.对证书和配置进行备份,所有节点需要操作;
cp -a /etc/kubernetes /etc/kubernetes.bakmaster节点再备份config配置
cp /root/.kube/config /root/.kube/config.bak4.使用定制的 kubeadm 进行续约操作,所有master节点需要操作;
- chmod u+x kubeadm-10y
-
- ./kubeadm-10y alpha certs renew all
5.执行以下命令,所有master节点使用更新后的 admin.conf 替换 /root/.kube/config 文件,出现提示时,输入 y 后回车;
- cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
-
- y
6.master节点执行以下命令,查看 k8s 组件证书更新情况,RESIDUAL TIME 为 <数字>y 则标识证书已更新,且有效期10年;
kubeadm alpha certs check-expiration7.master节点使用 kubectl 命令,检查输出是否正常
- kubectl get pod -A
-
- kubectl get node
8.所有master节点载入基础镜像防止部分节点缺少基础镜像
docker load -i /usr/share/proton-cs/images.tar9.重启服务使得所有组件能使用新证书进行工作,master节点逐台运行以下命令,以降低重启的影响:
- docker restart `docker ps | grep -E 'kube-apiserver|kube-scheduler|kube-controller|etcd|apigateway' | grep kube-system | grep -v 'anyrobot\|calico' | awk '{print $1}' | xargs` &>/dev/null
-
- systemctl restart kubelet
10. 服务启动后还需检查kubelet 轮换证书是否已经过期,如果已经过期,需要参照 KB-3125 进行处理,检查方法如下,每个k8s节点执行命令:
openssl x509 -noout -in /var/lib/kubelet/pki/kubelet-client-current.pem -text| grep -i notNot Before 指证书有效开始时间,Not After 指证书有效截至时间,如果 Not After 小于当前时间,说明证书已经过期,且没有自动轮换,需要手动干预解决
比如,当前时间是2024年1月16日,Not After 为 2023年5月6日,说明已经过期,需要参照 KB-3125 进行处理