K8S 各个组件需要与 api-server 进行通信，通信使用的证书都存放在 /etc/kubernetes/pki 路径下，kubeadm 生成的证书默认有效为 1 年，因此需要定时更新证书，否则证书到期会导致整个集群不可用。

有其他的办法可以更长时间的延长证书。后续有空再写方法

本篇文章主要介绍如何通过 kubeadm 重新生成证书。
 

1、查看证书到期时间：

kubeadm alpha certs check-expiration

2、备份k8s配置

 cp -rp /etc/kubernetes /etc/kubernetes.bak

3、删除旧的证书

rm -rf /etc/kubernetes/pki/apiserver.key

4、重新生成全部证书

kubeadm alpha certs renew all

5、备份旧配置文件

mv /etc/kubernetes/*.conf /tmp/

6、生成所有配置文件

kubeadm init phase kubeconfig all

7、重启kubelet

systemctl restart kubelet

8、替换kubeconfig

 9、查看证书时间（续一年）

kubeadm alpha certs check-expiration