kubeadm 是 kubernetes 提供的一个初始化集群的工具,使用起来非常方便。但是它创建的apiserver、controller-manager等证书默认只有一年的有效期,同时kubelet 证书也只有一年有效期,一年之后 kubernetes 将停止服务。 官方推荐一年之内至少用 kubeadm upgrade 更新一次 kubernetes 系统,更新时也会自动更新证书。不过,生产环境或者无法连接外网的环境频繁更新 kubernetes 不太现实。
这里测试了三个版本的k8s,一个是v1.15.1, v1.15.3, v1.16.3,都适用
直接google搜索kubernetes github
去下载即可
进到源码目录中,需要修改两处地方 第一个地方:
# vim ./staging/src/k8s.io/client-go/util/cert/cert.go
NotAfter: now.Add(duration365d * 10).UTC(), //默认为10年,修改为100年,不能超过1000年,因为我试过不行
第二个地方:
# vim ./cmd/kubeadm/app/constants/constants.go
CertificateValidity = time.Hour * 24 * 365 * 100 //改为这里的值
这里通过docker容器的方式去编译
docker run --rm -it -v /tmp/kubernetes/:/go/src/k8s.io/kubernetes mirrorgooglecontainers/kube-cross:v1.12.10-1 bash
#进入容器
cd /go/src/k8s.io/kubernetes
make all WHAT=cmd/kubeadm GOFLAGS=-v
新生成的kubeadm会在./_output/local/bin/linux/amd64/kubeadm
这个路径下
把旧的做好备份,还有/etc/kubernetes/pki
也备份下
cp ./_output/local/bin/linux/amd64/kubeadm /usr/bin/kubeadm
#更新证书
kubeadm alpha certs renew all
#查看证书时间
kubeadm alpha certs check-expiration