k8s 1.14版本证书过期问题解决

Posted 2023-04-19

参考技术A 说起来，都是泪，从三年前和这个问题作斗争，证书过期和自动续期这个大问题，始终是一个心头的伤。
现在要想到一刀切的方案，还是自己更改Kubeadm源码，全部改成100年，最洒脱。
但，如果线上已运行了这些东东，且是10年1年证书过期的都有，那啷个弄嘛？

先用如下命令，看看k8s的哪些证书何时到期

输出pki下的证书情况：

输出/etc/kubernetes下的证书情况

cp -R /etc/kubernetes /etc/kubernetes$(date "+%Y%m%d")

又或者一条命令搞定
kubeadm init phase kubeconfig all
这里有个注意的细节，在使用kubeadm命令之前，它会到外网查找此K8s集群的版本信息，如果我们的机器是纯企业内网，不能访问外面，这里就会卡住。
BUT，还是可以离线进行的。
先从本集群生成一个config view类型文件。
kubeadm config view > kubeadm.conf
然后，在之后生成证书时，加上这个文件作为--config参数即可。如
kubeadm alpha phase kubeconfig scheduler --config kubeadm.conf
(上面是kueadm 1.10版本的命令，新版本已从alpha转正式命令，-h可找出来)

如果生疏了，可能看看help命令

1，仍然先备份哟，备份使得万年船~~
cp -R /etc/kubernetes /etc/kubernetes$(date "+%Y%m%d")
2，先将要过期的证书作更名

3，生成k8s的config view，然后使用kubeadm生成新的证书对

4，依次升级完其它几个要过期的证书，包括与etcd连接的证书对。
5，注意，有三个根证书对，是20年过期的，我没有更新（关键我不清楚更新之后，会发生什么事）。

6，根据不同版本，查看证书过期的命令还不一样呢，最好再作个重复记录。
查看/etc/kubernetes/pki目录证书过期

查看/etc/kubernetes/目录下的几个conf里的证书过期

柯尔莫可洛夫-斯米洛夫检验（Kolmogorov–Smirnov test，K-S test）

K-S检验方法能够利用样本数据推断样本来自的总体是否服从某一理论分布，是一种拟合优度的检验方法，适用于探索连续型随机变量的分布。