咨询下 k8 大佬一些问题

cert-manager?

@kindom 没用过这个，主要问题是更新了证书后各种组件重建对现有的服务可能影响很大，同事也没搞过这个，不好评估影响范围。

把业务迁移到一个 新集群上去。。。。。。。。

续订就完事了

根证书默认是 10 年有效期，我猜你大概率是 CA 签发的服务证书到期了，这个是默认 1 年有效期

如何更新 CA 签发的服务证书？在每个 master 节点执行下面的命令即可自动续期并生效：
——————————————————————————————————————————
kubeadm certs renew all
kubectl -n kube-system delete pod -l 'component=kube-apiserver'
kubectl -n kube-system delete pod -l 'component=kube-controller-manager'
kubectl -n kube-system delete pod -l 'component=kube-scheduler'
kubectl -n kube-system delete pod -l 'component=etcd'
——————————————————————————————————————————

ca 不是 10 年有效期吗?

@asilin 不是这个，是的你没看错就是根 ca 到期了，一批相当老的集群初建是根 ca 设置了 5 年

@DAPTX4869 好老的集群了，而且初建集群时同事设置了 5 年，这会都要到了。

@kindom 我觉得他说的是 k8s server 和 agent API TLS 的证书，不是里边运行的服务的证书。

和大家澄清下，不是 apiserver.crt 等这种二级证书，是 ca.crt 这个根证书。

@jackgoudan 那就和 kubernetes 没关系了，相当于业务服务的跨主机迁移，让运维同学来操作后续事宜吧。

看了下文档更新 ca 的流程： https://kubernetes.io/docs/tasks/tls/manual-rotation-of-ca-certificates/ 内容也不少

你确定是根 ca 过期？
各种集群初始化创建工具自签证书时，ca 都是 100 年起步的。倒是通过根 ca 签给 etcd 或者 kubelet 等组件的时候大概率会只有一年。看你怎么创建的集群，kubeadm 的话，一般可以通过 kubeadm certs renew 去更新

其他的话，自己逐个替换证书，挺烦的，容易出错

@defunct9 老哥，你咋不让他开 SSH 你上去看看了

@Judoon 是呀，耳机证书过期了 renew 下就完了，没必要上论坛了。hh

@NeroKamin 估计 ssh 哥嫌麻烦哈哈哈

证书签名是公钥签的，所以你只需要更新 ca.crt 就可以了，不需要更新二级根证书和各个服务的证书

# 更新 ca.crt
openssl x509 -x509toreq -in ca.crt -signkey ca.key -out new-server.csr
openssl x509 -req -days 3650 -in new-server.csr -signkey ca.key -out new-cacert.pem

# 验证，老的 ca.crt 和新的 new-cacert.pem 都是可以通过的
openssl verify -CAfile new-cacert.pem -verbose server.crt
openssl verify -CAfile ca.crt -verbose server.crt

只需要把 new-cacert.pem 替换成 ca.crt ， 然后每个 node 都重启下就 ok 了

最烦换证书，就不登了 @NeroKamin

@feedcode #18 等 OP 测试结果