Home

Kubernetes 证书续期 10 年

292 预计阅读时间:1.5分钟 运维技术

这篇文章记录 Kubernetes 集群证书延长有效期的方法,重点是把证书续期时间延长到 10 年。文中使用的是第三方脚本方式,适合需要快速处理集群证书有效期的场景。

准备脚本

git clone https://github.com/yuyicai/update-kube-cert.git
cd update-kube-cert
chmod 755 update-kubeadm-cert.sh

脚本下载完成后,需要修改 update-kubeadm-cert.sh 中的证书有效期:

CERT_DAYS=3650

这里的 3650 表示 10 年。

更新证书

在 Master 节点上执行续期命令:

./update-kubeadm-cert.sh all

也可以使用:

bash update-kubeadm-cert.sh all

不要使用:

sh update-kubeadm-cert.sh all

原因是有些 Linux 发行版中的 sh 并不指向 bash,执行时可能会出现兼容性问题。

如果集群使用 containerd 作为 CRI 运行时,则应改用 update-kubeadm-cert-crictl.sh

如果集群存在多个 Master 节点,需要在每个 Master 节点上分别执行一次续期操作。

适用说明

上面的方式适用于将证书有效期延长到 10 年。

如果你只需要常规续期 1 年,并且集群版本大于等于 v1.15.x,也可以直接使用 kubeadm 自带命令:

kubeadm certs renew all

执行后,证书有效期通常会延长 1 年。

Linux