备份现有配置文件和证书：

• 使用cp -rf命令将/etc/kubernetes目录复制到/etc/kubernetes_bak。
• 删除了/etc/kubernetes/pki/apiserver.*、front-proxy-client.*以及相关的配置文件（如admin.conf、kubelet.conf等），以确保旧的证书文件不再影响新的部署。

生成新的证书和配置文件：

• Within the Kubernetes configuration directory, executed the following commands:

  cd ~/kuberneteskubeadm alpha phase certs apiserver-kubelet-clientkubeadm alpha phase certs front-proxy-clientkubeadm alpha phase kubeconfig all --config config.yaml

• 这些命令生成了新的API服务器、Kubelet客户端和前方代理客户端证书，同时更新了相关的配置文件。

重启相关服务：

• Restarted kubelet和docker服务分别使用以下命令：

  systemctl restart kubeletsystemctl restart docker

• For clusters with multiple master nodes, repeat this process on each master node, copying the new certificates and configuration files as needed.

验证和测试：

• 使用openssl命令检查了新生成证书的有效日期，并确保它们的有效期超过当前时间。-重新运行了kubectl get node -o wide，观察到节点状态显示为“Ready”，表明集群服务已正常恢复。

备份ETCD数据：

• 使用tar命令备份了/var/lib/etcd/目录：

  cd /var/libtar -zvcf etcd.tar.gz etcd/

重新生成ETCD证书：

• 在根目录下的SSL配置文件下，使用cfssl gencert工具生成新的ETCD证书和密钥文件：

  rm -rf /etc/etcd/ssl/*cd /root/sslcfssl gencert -initca ca-csr.json | cfssljson -bare ca ca.pem ca-key.pem -config ca-config.json -profile kubernetes-Soulmatecfssljson -bare etcd-cert etcd.pem etcd-key.pem -config etcd-config.json -profile kubernetes-Soulmatescp -r /etc/etcd/ssl/*.pem node02:/etc/etcd/ssl/scp -r /etc/etcd/ssl/*.pem node03:/etc/etcd/ssl/

验证ETCD证书：

• 使用openssl确认新生成证书的有效日期，并确保它们仍在有效期内：

  [root@node01 ssl]# openssl x509 -in etcd.pem -noout -text | grep 'Not'Not Before: Oct  8 13:49:00 2020 GMTNot After : Oct  8 13:49:00 2021 GMT