Hetzner-k3s集群证书过期问题分析与解决方案

问题背景

在使用Hetzner-k3s部署的Kubernetes集群中，用户遇到一个典型问题：集群运行满一年后突然无法通过kubeconfig连接。经检查发现，这是由于Kubernetes集群中的客户端证书已过期导致的连接故障。

问题诊断

通过以下命令可以检查kubeconfig中客户端证书的有效期：

grep 'client-certificate-data' ./kubeconfig | awk '{print $2}' | base64 -d | openssl x509 -text

输出显示证书的有效期确实仅为一年，这是K3s的默认设置。证书过期后，不仅会导致管理端无法连接，还会影响工作节点的正常运行，表现为Pod异常终止。

根本原因

K3s默认配置的证书有效期设计为一年，这是出于安全考虑的标准做法。但如果没有定期维护，就会遇到证书过期问题。特别需要注意的是：

1. K3s不会自动续期即将过期的证书
2. 简单的服务重启不会触发证书轮换
3. 工作节点证书同样会过期，导致节点不可用

解决方案

短期修复

1. 从主节点获取新的kubeconfig文件（位于/etc/rancher/k3s/k3s.yaml）
2. 执行证书轮换命令：

k3s certificate rotate

3. 对于受影响的工作节点，可能需要执行节点排水(drain)并重启

长期预防

1. 定期升级K3s版本：每次K3s升级会自动处理证书轮换
2. 监控证书有效期：设置监控提醒证书到期时间
3. 考虑延长证书有效期（需权衡安全性）：

--kube-apiserver-arg="client-ca-file=/etc/ssl/k8s/ca.pem" \
--kube-apiserver-arg="tls-cert-file=/etc/ssl/k8s/apiserver.pem" \
--kube-apiserver-arg="tls-private-key-file=/etc/ssl/k8s/apiserver-key.pem"

最佳实践建议

1. 建立K3s集群的定期维护计划，至少每6个月检查一次
2. 对关键证书设置监控告警
3. 保持K3s版本更新，新版本可能改善证书管理机制
4. 重要生产环境考虑使用外部证书管理方案

通过以上措施，可以有效预防证书过期导致的集群故障，确保Hetzner-k3s集群的长期稳定运行。