K8S 各个组件需要与 api-server 进行通信，通信使用的证书都存放在 /etc/kubernetes/pki 路径下，由 kubeadm 生成的客户端证书在 1 年后到期，因此需要定时更新证书，否则证书到期会导致整个集群不可用。

证书过期后，执行kubectl命令会报如下错误：

[root@k8s-master65 ~]# kubectl get _nodes
error：You must be logged in to the server (Unauthorized)

查看证书过期时间

执行命令：

kubeadm certs check-expiration

输出：

[root@k8s-master90 ~]# kubeadm certs check-expiration
[check-expira