1、备份整个证书目录 cp -r /etc/kubernetes/ /etc/kubernetes-old
2、查看证书过期时间 openssl x509 -in apiserver.crt -text -noout |grep Not
3、重新生成所有证书 kubeadm alpha certs renew all 有提示可忽略 查看证书有限期 100年
4、重新生成配置文件 kubeadm config view > /root/cluster.yaml kubeadm init phase kubeconfig all /root/cluster.yaml
5、依次重启etcd、apiserver、controller、scheduler Docker rm –f dockerid Docker logs –f dockerid
6、每个主节点依次执行以上操作,etcd无问题,容器重启加载证书就不会有问题,建议证书一台一台更换,更换后都先只删除etcd,确保所有节点etcd没问题后,剩下都是无状态的服务。
etcd3 get / --prefix --keys-only
