在 Kubernetes v1.24.16 中更新证书的详细步骤如下：## 1. 检查证书过期时间```bash# 查看所有证书的过期时间kubeadm certs check-expiration# 或者使用 openssl 查看特定证书openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text | grep -A 2 "Validity"```## 2. 备份现有证书```bash# 备份整个 kubernetes 目录cp -r /etc/kubernetes /etc/kubernetes.backup.$(date +%Y%m%d)# 备份 etcd 证书（如果使用外部etcd可以跳过）cp -r /etc/kubernetes/pki/etcd /etc/kubernetes/pki/etcd.backup.$(date +%Y%m%d)```## 3. 更新证书### 方法一：使用 kubeadm 更新所有证书（推荐）```bash# 更新所有证书kubeadm certs renew all# 或者单独更新某个证书kubeadm certs renew apiserverkubeadm certs renew apiserver-kubelet-clientkubeadm certs renew front-proxy-client# ... 其他证书```### 方法二：手动更新特定证书```bash# 更新 admin.confkubeadm certs renew admin.conf# 更新 controller-manager.confkubeadm certs renew controller-manager.conf# 更新 scheduler.confkubeadm certs renew scheduler.conf```## 4. 更新 kubeconfig 文件```bash# 更新管理员配置cp /etc/kubernetes/admin.conf ~/.kube/config# 或者使用 kubeadm 更新kubeadm init phase kubeconfig all```## 5. 重启相关组件### 对于使用 systemd 管理的集群：```bash# 重启 kubeletsystemctl restart kubelet# 如果是静态 Pod，需要重启相关容器# 方法1：移动并恢复 manifest 文件cd /etc/kubernetes/manifests/mv kube-apiserver.yaml ..mv kube-controller-manager.yaml ..mv kube-scheduler.yaml ..sleep 20mv ../kube-apiserver.yaml .mv ../kube-controller-manager.yaml .mv ../kube-scheduler.yaml .# 方法2：使用 crictl 或 docker 重启容器crictl ps | grep kube-apiservercrictl stop <container-id># kubelet 会自动重启容器```## 6. 验证证书更新```bash# 再次检查证书过期时间kubeadm certs check-expiration# 验证集群状态kubectl get nodeskubectl get pods -n kube-system# 检查组件状态kubectl get cs # 注意：此命令在新版本中已废弃# 或使用kubectl get pods -n kube-system```## 7. 更新其他节点（如果有多个 master）```bash# 在其他 master 节点上执行kubeadm certs renew allsystemctl restart kubelet```## 注意事项1. **证书更新时机**：建议在证书过期前至少一周进行更新2. **备份重要性**：更新前必须备份，以防出现问题可以回滚3. **更新顺序**：先更新 master 节点，再更新 worker 节点4. **监控验证**：更新后要验证所有组件正常工作## 自动化证书更新可以设置定时任务自动更新证书：```bash# 创建更新脚本cat > /usr/local/bin/renew-k8s-certs.sh << 'EOF'#!/bin/bashkubeadm certs renew allsystemctl restart kubeletEOFchmod +x /usr/local/bin/renew-k8s-certs.sh# 添加 crontab（每月1号凌晨2点执行）echo "0 2 1 * * /usr/local/bin/renew-k8s-certs.sh >> /var/log/k8s-cert-renew.log 2>&1" | crontab -```如果遇到问题，可以查看日志：```bashjournalctl -u kubelet -fkubectl logs -n kube-system <pod-name>```

Timeline

Elon Musk (@elonmusk) 2025-07-23 18:31:10.846022054 +0800 CST

在 Kubernetes v1.24.16 中更新证书的详细步骤如下：

1. 检查证书过期时间

# 查看所有证书的过期时间
kubeadm certs check-expiration

# 或者使用 openssl 查看特定证书
openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text | grep -A 2 "Validity"

2. 备份现有证书

# 备份整个 kubernetes 目录
cp -r /etc/kubernetes /etc/kubernetes.backup.$(date +%Y%m%d)

# 备份 etcd 证书（如果使用外部etcd可以跳过）
cp -r /etc/kubernetes/pki/etcd /etc/kubernetes/pki/etcd.backup.$(date +%Y%m%d)

3. 更新证书

方法一：使用 kubeadm 更新所有证书（推荐）

# 更新所有证书
kubeadm certs renew all

# 或者单独更新某个证书
kubeadm certs renew apiserver
kubeadm certs renew apiserver-kubelet-client
kubeadm certs renew front-proxy-client
# ... 其他证书

方法二：手动更新特定证书

# 更新 admin.conf
kubeadm certs renew admin.conf

# 更新 controller-manager.conf
kubeadm certs renew controller-manager.conf

# 更新 scheduler.conf
kubeadm certs renew scheduler.conf

4. 更新 kubeconfig 文件

# 更新管理员配置
cp /etc/kubernetes/admin.conf ~/.kube/config

# 或者使用 kubeadm 更新
kubeadm init phase kubeconfig all

5. 重启相关组件

对于使用 systemd 管理的集群：

# 重启 kubelet
systemctl restart kubelet

# 如果是静态 Pod，需要重启相关容器
# 方法1：移动并恢复 manifest 文件
cd /etc/kubernetes/manifests/
mv kube-apiserver.yaml ..
mv kube-controller-manager.yaml ..
mv kube-scheduler.yaml ..
sleep 20
mv ../kube-apiserver.yaml .
mv ../kube-controller-manager.yaml .
mv ../kube-scheduler.yaml .

# 方法2：使用 crictl 或 docker 重启容器
crictl ps | grep kube-apiserver
crictl stop <container-id>
# kubelet 会自动重启容器

6. 验证证书更新

# 再次检查证书过期时间
kubeadm certs check-expiration

# 验证集群状态
kubectl get nodes
kubectl get pods -n kube-system

# 检查组件状态
kubectl get cs  # 注意：此命令在新版本中已废弃
# 或使用
kubectl get pods -n kube-system

7. 更新其他节点（如果有多个 master）

# 在其他 master 节点上执行
kubeadm certs renew all
systemctl restart kubelet

注意事项

证书更新时机：建议在证书过期前至少一周进行更新
备份重要性：更新前必须备份，以防出现问题可以回滚
更新顺序：先更新 master 节点，再更新 worker 节点
监控验证：更新后要验证所有组件正常工作

自动化证书更新

可以设置定时任务自动更新证书：

# 创建更新脚本
cat > /usr/local/bin/renew-k8s-certs.sh << 'EOF'
#!/bin/bash
kubeadm certs renew all
systemctl restart kubelet
EOF

chmod +x /usr/local/bin/renew-k8s-certs.sh

# 添加 crontab（每月1号凌晨2点执行）
echo "0 2 1 * * /usr/local/bin/renew-k8s-certs.sh >> /var/log/k8s-cert-renew.log 2>&1" | crontab -

如果遇到问题，可以查看日志：

journalctl -u kubelet -f
kubectl logs -n kube-system <pod-name>