1 개요[ | ]
- kube-apiserver 인증서 유효기간 확인 및 갱신
- Kubernetes 클러스터의 kube-apiserver 인증서 만료일을 확인하는 방법 정리
openssl또는cfssl을 통한 직접 확인kubeadm certs check-expiration명령을 통한 확인 및 비교kubeadm certs renew명령으로 인증서 갱신 스크립트 작성 예시 포함- 관련문서: "certs renew" → https://kubernetes.io/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/
- openssl x509 -noout -text -in
2 인증서 경로 찾기[ | ]
- kube-apiserver 관련 인증서 경로 확인
# find /etc/kubernetes/pki | grep apiserver
/etc/kubernetes/pki/apiserver-etcd-client.key
/etc/kubernetes/pki/apiserver-kubelet-client.key
/etc/kubernetes/pki/apiserver-etcd-client.crt
/etc/kubernetes/pki/apiserver.key
/etc/kubernetes/pki/apiserver-kubelet-client.crt
/etc/kubernetes/pki/apiserver.crt
3 openssl을 통한 유효기간 확인[ | ]
openssl을 사용하여apiserver.crt의 유효기간 확인
# openssl x509 -noout -text -in /etc/kubernetes/pki/apiserver.crt | grep Validity -A2
Validity
Not Before: Oct 29 14:14:27 2024 GMT
Not After : Oct 29 14:19:27 2025 GMT
- 확인된 만료일을 파일로 저장
# echo "Oct 29 14:19:27 2025 GMT" > /opt/course/14/expiration
4 kubeadm을 통한 유효기간 확인[ | ]
kubeadm certs check-expiration명령으로 모든 주요 인증서의 만료일 확인 가능- 출력 결과를 grep으로 필터링하여 apiserver 관련 항목만 확인
# kubeadm certs check-expiration | grep apiserver
apiserver Oct 29, 2025 14:19 UTC 356d ca no
apiserver-etcd-client Oct 29, 2025 14:19 UTC 356d etcd-ca no
apiserver-kubelet-client Oct 29, 2025 14:19 UTC 356d ca no
5 인증서 갱신 명령어 스크립트[ | ]
kubeadm certs renew apiserver명령어를 실행하면 kube-apiserver 인증서만 갱신됨- 실행 스크립트로 저장하고 실행 가능하게 설정
cat <<EOF > /opt/course/14/kubeadm-renew-certs.sh
#!/bin/bash
kubeadm certs renew apiserver
EOF
chmod +x /opt/course/14/kubeadm-renew-certs.sh
6 같이 보기[ | ]
로그인하시면 댓글을 쓸 수 있습니다.
{{ comment.name }}
{{ comment.created | snstime }}
-
{{comment.page_title}} ―{{comment.name}}