《Kubernetes故障篇： kubelet 证书实现自动续签》

总结：整理不易，如果对你有帮助，可否点赞关注一下？

更多详细内容请参考：《K8S集群运维指南》

一、kubelet证书说明

在 Kubernetes 集群中，kubelet 是运行在每个节点上的核心代理，负责管理 Pod 和容器。为了保证通信安全，kubelet 使用了多种证书来与 kube-apiserver 及其他组件进行双向 TLS 认证。下面我将详细介绍 kubelet 涉及的几种主要证书类型。

1、kubelet 客户端证书
kubelet 作为客户端与 kube-apiserver 通信时使用的证书。例如：向 API Server 报告节点状态（Node Status）；监听 Pod 变更并执行操作（创建/删除容器）；上报节点和容器的监控指标。kubelet-client-*.pem 证书（即 kubelet 的客户端证书）是由 Kubernetes 集群的根证书颁发机构（Root CA） 签发的，但在实际的集群操作中，负责签署工作的组件是 kube-controller-manager。

查看kubelet 客户端证书信息

/usr/bin/openssl x509-in/var/lib/kubelet/pki/kubelet-client-2026-03-12-09-47-35.pem-noout-text

2、kubelet 服务器端证书
kubelet 作为服务端，对外提供 HTTPS 服务的证书。主要场景包括：kube-apiserver 访问 kubelet 获取 Pod 日志（kubectl logs）、执行命令（kubectl exec）、端口转发等；监控组件（如 Prometheus）从 kubelet 的 /metrics 端点抓取指标；任何需要直接与 kubelet 通信的客户端（需验证服务端身份）。

查看kubelet 服务器证书信息

/usr/bin/openssl x509-in/var/lib/kubelet/pki/kubelet.crt-noout-text

3、kubelet的服务端证书和客户端证书过期影响
kubelet的服务端证书和客户端证书一旦过期，会分别从不同层面影响集群的健康状态。总的来说，客户端证书过期主要影响节点与API Server之间的通信，而服务端证书过期则主要影响API Server对节点的访问。如下图所示：

二、kubelet客户端证书续签

kubelet-client-current.pem，这是kubelet作为客户端去连接API Server时使用的证书。后者通常由kubelet自动轮转，而前者的处理方式取决于你的集群搭建方式。

2.1、kubeadm部署方式续签

1、在使用kubeadm初始化集群配置文件中，添加如下配置

rotateCertificates:true

2.2、二进制方式部署方式续签

1、在 kubelet 的配置文件中（通常是/var/lib/kubelet/config.yaml），添加或确认以下内容：

rotateCertificates:true

如下图所示：

2.3、kubelet客户端证书修改有效期

1、kubeadm部署方式，要修改 kubelet 客户端证书的有效期，需在kubeadm初始化集群配置文件中，添加如下参数

controllerManager: extraArgs - name:"cluster-signing-durat