K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/pki 路径下,由 kubeadm 生成的客户端证书在 1 年后到期,因此需要定时更新证书,否则证书到期会导致整个集群不可用。
证书过期后,执行kubectl命令会报如下错误:
[root@k8s-master65 ~]# kubectl get _nodes
error:You must be logged in to the server (Unauthorized)
查看证书过期时间
执行命令:
kubeadm certs check-expiration
输出:
[root@k8s-master90 ~]# kubeadm certs check-expiration
[check-expira