K8S之rke2证书过期，如何处理以及遇到的问题

原创于 2025-12-17 17:17:14 发布 · 29 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#kubernetes #服务器 #容器

近期在登录测试环境时，发现无法使用k8s指令来查看pod、node等信息，后来发现是rke2证书过期。

目前rke2-server证书重启（指令：sudo systemctl restart rke2-server）时候，如果发现证书过期或者距离过期不足90天，则会自动生成新的证书，然后分发同步到其他组件。

如果使用的是高可用集群，比如3台节点都是master的方式，需要每台节点执行一次sudo systemctl restart rke2-server，保险起见再将新生成的/etc/rancher/rke2/rke2.yaml文件，copy到当前用户目录（~/.kube/config）和根目录/root/.kube/config，需要使用到sudo权限。

如果证书过期时间大于90天，如何强制重新生成证书呢？

手动轮换：sudo rke2 certificate rotate，rke2如果没有配置环境变量，需要写绝对路径。

具体操作步骤如下：

bash

# 1. 停止服务
sudo systemctl stop rke2-server

# 2. 轮换证书（使用完整路径命令）
sudo /var/lib/rancher/rke2/bin/rke2 certificate rotate

# 3. 重启服务
sudo systemctl start rke2-server

# 4. 检查服务状态和新证书
sudo systemctl status rke2-server
sudo /var/lib/rancher/rke2/bin/kubectl get nodes

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

永不停歇的蜗牛

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

一、二进制方式安装部署K8S

爱吃西红柿的博客

01-07

1733

1、集群架构2、资源规划角色IP主机名组件etcdk8s-node-1k8s-node-1kubeletkube-proxydockeretcdk8s-node-2k8s-node-2kubeletkube-proxydockeretcd。

k8s学习（RKE+k8s+rancher2.x）成长系列之概念介绍（一）

nhm_lxy的专栏

01-25

863

本系列主要是RKE拉起高可用k8s环境并部署HA的Rancher2.x的实战操作教学文章

参与评论您还未登录，请先登录后发表或查看评论

rancher2.5.0 版本证书过期处理

margu_168的博客

05-10

1197

坑：通过docker 起2.5.0版本rancher遇到的，rancher证书的有效期只有一年，一年后web管理界面无法登录，登陆宿主机查看相应容器的日志发现以下报错。通过rancher界面可以很方便查看管理kubernetes中的一些资源，有助于一些对k8s不太熟悉的人排查业务问题（如开发），运维人员看个人爱好使用。据说rancher升级至2.5.8 及以上，其内使用k3s 1.20 版本，已无此Bug，可自行测试。重启相应容器，web界面访问测试，检查是否有异常。容器内执行证书清理动作并刷新。

导入 k8s 集群更新 CA 证书后 Rancher 端的配置操作

IT老男孩

01-11

1654

本文永久链接: https://www.xtplayer.cn/rancher/import-k8s-cluster-update-ca/在早期的 rancher 版本中，如果导入的业务 K8S 集群因为证书到期重新生成了证书(包括 kube-ca 证书)，这个时候在 Rancher UI shell 终端中执行命令时会报 x509 错误，UI 的一些操作也会报 x509 相关的错误，即使重启集群...

K8S集群证书续期：使用 kubeadm certs renew 命令来更新证书

学亮编程手记

11-06

5257

如果你对此类证书的更新没有特殊要求，并且定期执行 Kubernetes 版本升级（每次升级之间的间隔时间少于 1 年），则 kubeadm 将确保你的集群保持最新状态并保持合理的安全性。随着 kubernetes 集群的使用，某一天证书过期了，此时 kubernetes 集群将无法正常使用，比如：kubectl 命令执行会产生错误（为防止更新证书等操作失败，关键操作前一定要进行备份。在实际中，如果遇到证书过期，则需手动更新证书，通过。很明显，这是证书过期导致，只需更新证书即可。命令，查看证书过期时间。

kubernetes + rancher 使用教程

时光有伱，记忆成花~

07-30

4185

目录 kubernetes 介绍官方文档 kubernetes（K8S）概念 服务器部署时代变迁为什么需要 Kubernetes，它能做什么? Pods 控制器 Service（服务发现）本教程版本 sealos 介绍及安装 sealos 介绍部署 sealos 不选择 sealos 部署 K8S 的原因 RKE 安装 K8S rancher 备份与升级备份升级 Rancher 集群定时备份与恢复集群定时备份集群定时备

kubeadm与RKE2使用区别

xgysimida的博客

10-13

755

RKE2 通过“约定大于配置”的方式，帮我们处理了很多繁琐的细节，让我们能更专注于应用本身。核心习惯忘掉手动修改组件参数，一切通过来配置，并通过systemctl来管理服务。可参考官方文档（https://docs.rke2.io/），里面写得非常详细。遇到具体问题时，先检查服务状态和日志，大部分问题都能很快定位。本文来源于我的微信公众号Linux运维小白，我会持续更新文章，欢迎大家关注，互相交流学习。

Debian12使用RKE2离线部署3master2node三主两从的k8s集群详细教程

一位菜鸡的博客

12-25

978

将镜像文件传到master01服务器的当前/root/rke2-artifacts/目录下。将镜像文件传到master02服务器的当前/root/rke2-artifacts/目录下。将镜像文件传到master03服务器的当前/root/rke2-artifacts/目录下。将镜像文件传到node01服务器的当前/root/rke2-artifacts/目录下。将镜像文件传到node02服务器的当前/root/rke2-artifacts/目录下。添加master01配置文件。正确显示结果则部署成功。

RKE2在线方式部署K8S集群最新版本

moyanfengyun的博客

03-19

1858

RKE2快速安装高可用K8S集群

3.3.k8s搭建-rancher RKE2

qq_22321199的专栏

04-04

1841

rke2搭建k8s集群，部署rancher，helm实战

使用rke2安装高可用k8s集群

qq_23191379的博客

04-06

1350

rke2高可用k8s集群部署

《K8s 入门实战：架构原理拆解》

m0_56953101的博客

12-10

820

Kubernetes（K8S）是一个容器集群管理平台，用于部署和管理微服务应用。其架构分为Master控制节点（包含API Server、ETCD、调度器等核心组件）和Worker工作节点（运行kubelet、kube-proxy及Pod）。K8S通过中心化的工作流程运作：用户指令经kubectl提交后，由Master节点协调调度，最终在Worker节点创建并运行Pod。关键机制包括List-watch监听、控制器状态维护和kube-proxy网络管理，实现自动化部署、扩缩容和负载均衡等功能。

K8s-1.29.2二进制安装-第一章

会飞的小蛮猪博客

12-15

247

从本章开始完成k8s二进制安装的安装学习，系统使用Rockly9.6，K8s版本1.29.2，一共会分成几张进行编写。

血崩之一个pod弄坏一个k8s集群

运维Linux和python

12-13

209

监控，一般都不会依赖云平台的监控，自己部署了一个prometheus的pod来进行采集数据，在开始运行良好，而随着pod数量的增多，监控指标的增加，发现这个pod占用的资源越来越大，在生产环境中，扩容到了128C，发现还是不足，生产中已经下掉了，而在非生产中还是残留的，一直没关注，进程监控装上后，当再一次发生的时候，发现这个pod就是prometheus的pod。在一个环境中，要考虑很多，无法改变的东西少想，能改变的东西多努力，找到努力的方向，迷茫也是正常的，走的路都是曲折的，而不是一直向上。

Go 语言容器感知，自动适配 K8s 资源限制

码刀攻城

12-13

719

Go 对容器化部署的深度优化，极大降低了开发者的配置成本，避免了资源浪费和性能瓶颈

排查k8s连接mysql的pod

最新发布

Z_linht的博客

12-16

107

在Host列找到具体的连接IP，例如找到IP是：192.168.110.27。找到pod的IP是10.233.81.245.50950。

K8S-Deployment

weixin_46683975的博客

12-11

550

Kubernetes Deployment管理指南摘要：Deployment是Kubernetes管理无状态应用的核心对象，通过声明式配置实现Pod和ReplicaSet的自动化管理。本文详细解析了Deployment的YAML文件结构、核心功能及企业应用场景，包括：核心功能：声明式更新、版本控制、扩缩容和自愈能力 YAML配置：详细说明metadata、spec等关键字段操作场景：滚动更新、版本回滚和状态监控高级配置：资源配额、健康检查和多容器部署更新策略：maxSurge与maxUnavail

K3s + 边缘 AI：轻量级 K8s 在嵌入式设备的部署

码刀攻城

12-14

913

K3s 解决了传统 K8s 在嵌入式设备的“重”问题，实现了轻量级容器编排

【k8s】集群安全机制（一）：认证

D2005_10_25的博客

12-14

962

本文主要介绍 kubernetes 安全机制的第一部分：认证。

failed to create fleet-default/my-k8s cluster.x-k8s.io/v1beta1, Kind=Cluster for rke-cluster fleet-default/my-k8s: Internal error occurred: failed calling webhook "default.cluster.cluster.x-k8s.io": failed to call webhook: Post "https://capi-webhook-service.cattle-provisioning-capi-system.svc:443/mutate-cluster-x-k8s-io-v1beta1-cluster?timeout=10s": service "capi-webhook-service" not found

06-13

<think>嗯，用户现在遇到了Rancher和Docker中与Webhook服务相关的错误，具体是“failed tocall webhook capi-webhook-servicenot found”。我需要先理解这个错误的原因，然后找出解决办法。根据用户提供的引用内容，可能涉及到镜像拉取问题或者配置错误。首先，引用[1]中的日志显示cluster-agent出现了CrashLoopBackOff，这可能是因为镜像拉取失败或者配置错误。用户之前的问题是关于镜像拉取的问题，可能使用了阿里云的镜像源，但可能某些组件比如webhook的镜像没有正确替换，导致服务无法启动。引用[3]提到Rancher依赖的镜像包括rancher/rancher-webhook:v0.4.2，如果这个镜像没有正确拉取，可能导致capi-webhook-service无法启动。用户之前可能配置了镜像仓库，但可能webhook服务的镜像没有正确指向国内源，或者版本不匹配。另外，引用[4]显示用户使用的是v2.7.8版本的Rancher，而引用[3]中提到的webhook版本是v0.4.2，可能存在版本兼容性问题。需要检查Rancher版本和webhook版本是否对应。可能的解决步骤包括检查webhook相关的Pod状态，确认镜像是否正确拉取，查看日志是否有网络问题或镜像拉取失败。如果镜像拉取有问题，可能需要配置镜像仓库或者手动拉取镜像。另外，可能需要更新Rancher到稳定版本，或者检查Kubernetes集群的网络策略是否阻止了服务发现。此外，用户之前配置了阿里云的Docker源，但可能没有正确设置Rancher的镜像参数，导致部分组件仍从DockerHub拉取，出现超时。需要确保所有相关镜像都使用国内镜像源，比如阿里云，或者配置Docker的registry-mirrors。总结，解决方案可能包括检查webhook服务状态，确认镜像版本和来源，配置正确的镜像仓库，更新Rancher版本，以及检查网络策略。同时，用户可能需要清理旧镜像并重新部署，确保所有组件版本兼容。</think>### 解决 "failed to call webhook capi-webhook-service not found" 错误 #### 一、错误原因分析 1. **缺失的 Webhook 服务** - `capi-webhook-service` 是 Rancher 集群 API（CAPI）的核心组件，负责验证集群操作请求[^3] - 错误直接原因：Kubernetes API Server 无法找到该服务的 Endpoint，可能因 Pod 未启动或网络策略隔离导致[^1] 2. **镜像拉取问题** - Webhook 服务依赖的镜像未正确拉取（如 `rancher/rancher-webhook`），常见于海外镜像源访问超时[^3] - 检查相关 Pod 状态： ```bash kubectl get pods -n cattle-system | grep webhook ``` 3. **版本兼容性问题** - Rancher 版本与 Kubernetes 集群版本不兼容（如 Rancher v2.7.x 需搭配 Kubernetes 1.23+）[^4] #### 二、解决方案 ##### 方法1：修复镜像拉取问题 ```bash # 手动拉取 webhook 镜像并重新打标签（以阿里云镜像源为例） docker pull registry.cn-hangzhou.aliyuncs.com/rancher/rancher-webhook:v0.4.2 docker tag registry.cn-hangzhou.aliyuncs.com/rancher/rancher-webhook:v0.4.2 rancher/rancher-webhook:v0.4.2 # 重启 Rancher 容器 docker restart <rancher-container-id> ``` ##### 方法2：检查 Webhook 服务状态 1. 查看 Webhook Pod 日志： ```bash kubectl logs -n cattle-system -l app=rancher-webhook --tail=100 ``` 2. 验证 Service 和 Endpoints： ```bash kubectl get svc capi-webhook-service -n cattle-system kubectl get endpoints capi-webhook-service -n cattle-system ``` ##### 方法3：更新 Rancher 版本 ```bash # 升级到稳定版（需先备份） docker stop <rancher-container-id> docker pull rancher/rancher:stable docker run -d ...（原有启动参数） ``` #### 三、高级修复步骤 1. **清理残留资源** ```bash # 删除失效的 MutatingWebhookConfiguration kubectl delete mutatingwebhookconfigurations.admissionregistration.k8s.io capi-mutating-webhook-configuration ``` 2. **强制同步集群状态** ```bash # 触发集群重新注册 kubectl annotate clusters.management.cattle.io <cluster-name> force-update="$(date +%s)" ``` 3. **网络策略检查** - 确保 `cattle-system` 命名空间下的 Pod 可以访问 Kubernetes API Server（默认端口 6443） - 使用 `telnet` 测试连通性： ```bash kubectl exec -n cattle-system <rancher-webhook-pod> -- telnet <k8s-api-server-ip> 6443 ``` #### 四、验证修复 1. 检查 Webhook Pod 状态： ```bash kubectl get pods -n cattle-system -l app=rancher-webhook ``` 2. 观察日志是否出现正常同步记录： ```bash kubectl logs -n cattle-system <rancher-webhook-pod> | grep "Successfully synced" ``` #### 补充说明 - **镜像版本对照表** | Rancher 版本 | Webhook 版本 | CAPI 版本 | |-------------|-------------|----------------| | v2.7.x | v0.3.x | v1.0.4 | | v2.8.x | v0.4.2 | v1.4.4 | [^3][^4] - **关键配置文件路径** ```text /var/lib/rancher/k3s/server/manifests/rancher-webhook.yaml ``` --- ### 相关问题 1. 如何排查 Rancher 中 Cluster API 的证书过期问题？ 2. Rancher Webhook 服务如何实现高可用部署？ 3. Kubernetes 集群升级后 Rancher 出现兼容性错误如何解决？