背景：故意修改Kubernetes集群所在服務(wù)器節(jié)點(diǎn)上的時(shí)間使Kubernetes證書過期，重新頒發(fā)證書后，使用kubeadm alpha certs check-expiration命令查看證書有效時(shí)間，相關(guān)證書都已重新頒發(fā)。
也可以使用openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ’ Not ’ 進(jìn)行查看證書的有效期

但是在Kubernetes集群master節(jié)點(diǎn)上執(zhí)行kubectl命令報(bào)如下錯(cuò)誤：

error: You must be logged in to the server (Unauthorized)
錯(cuò)誤：您必須登錄到服務(wù)器（未經(jīng)授權(quán)）

原因：這個(gè)是權(quán)限問題，配置身份認(rèn)證的文件為/etc/kubernetes/admin.conf，頒發(fā)證書時(shí)/etc/kubernetes/admin.conf文件重新生成，但是$HOME/.kube/config并沒有得到替換。

解決方案：

sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config

解釋：當(dāng)我們使用kubeadm成功引導(dǎo)啟動(dòng)(init)一個(gè)Kubernetes集群的控制平面后，kubeadm會在init的輸出結(jié)果中給予我們下面這樣的“指示”：

... ...
Your Kubernetes master has initialized successfully!
 
To start using your cluster, you need to run the following as a regular user:
 
  mkdir -p $HOME/.kube
  sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
  sudo chown $(id -u):$(id -g) $HOME/.kube/config
... ...

  kubeadm init在結(jié)尾處輸出的這些信息是在告知我們?nèi)绾闻渲胟ubeconfig文件。
  按照上述命令配置后，master節(jié)點(diǎn)上的kubectl就可以直接使用$HOME/.kube/config的信息訪問k8s cluster了。
  并且，通過這種配置方式，kubectl也擁有了整個(gè)集群的管理員(root)權(quán)限。