33-k8s项目实战-02-k8s的ca证书有效期更新

已于 2024-02-29 12:35:28 修改
阅读量755 收藏 9
点赞数 18
分类专栏: kubernetes系列全栈教程 文章标签: kubernetes
于 2024-02-29 12:32:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79199605/article/details/136350600
版权

一、概述

        我们知道,k8s各项组件之间的通信,都是使用https协议进行的,也就是ca证书,那么我们也知道ca证书都是有“有限期的”,一旦过期,系统就无法进行通信了;

        这也是k8s在企业当中经常遇到的证书过期问题,也是需要我们来监控的;避免系统无法使用;

二、查询证书有效期

        当然,折中查询方式,仅限于我们是kubeadm部署k8s集群,才能用,如果你是二进制部署,那么这个命令是不管用了,你需要使用创建证书的工具去查询;

[root@k8s231 ~]# kubeadm certs check-expiration

三、安全起见,重要的数据先备份

#备份证书

[root@k8s231 ~]# cp -rf /etc/kubernetes/  /etc/kubernetes.bak

#备份数据库
[root@k8s231 ~]# cp -rf /var/lib/etcd/ /var/lib/etcd.bak

四、升级证书

        温馨提示:根证书默认创建有效期都是十年,我们不用关注,只需要关注客户端证书即可,默认客户端有效期是1年;

[root@k8s231 ~]# kubeadm certs renew all

        升级后,再次查看证书,可以看到,有效期延长了(默认是再次变成有效期65天);

五、重启相关组件的pod

        提示,不重启,不生效;就是删除pod;他自动回拉取新的;

[root@k8s231 ~]# kubectl delete pods -n kube-system etcd-k8s231 kube-apiserver-k8s231 kube-controller-manager-k8s231 kube-scheduler-k8s231

至此,证书升级完毕;

心机の之蛙
关注
  • 18
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[云原生k8s] k8sCA证书创建和使用及ETCD集群
m0_71521555的博客
11-03 1703
CA证书及ETCD集群部署
更新kubernetes 过期证书
weixin_40374369的博客
01-31 729
kubeadm 版本在kubernetes 1.15 版本 提供了强大的证书管理功能,本文章适用于kubernetes1.15以下版本(文章中kubernetes版本是1.13.2)。 1.15 版本的证书管理相关文档: 官方文档-使用 kubeadm 进行证书管理 [官方文档-kubeadm alpha 使用说明]9https://kubernetes.io/docs/refere...
[云原生k8s] k8sCA证书创建和使用
weixin_71429850的博客
11-03 1882
Etcd 是一个分布式键值存储系统,Kubernetes 使用 Etcd 进行数据存储,所以先准备 一个 Etcd 数据库,为解决 Etcd 单点故障,应采用集群方式部署,这里使用 3 台组建集 群,可容忍 1 台机器故障,当然,你也可以使用 5 台组建集群,可容忍 2 台机器故障。ETCD_INITIAL_CLUSTER_STATE:加入集群的当前状态,new 是新集群,existing 表示加入 已有集群。ETCD_INITIAL_ADVERTISE_PEER_URLS:集群通告地址。
k8s- kubernetes证书过期替换之kubeadm命令 certs renew all方式
liuyij3430448的博客
04-27 5786
**k8s集群之间的访问会使用到证书,如果使用kubeadm搭建的集群,默认CA证书有效期为10年,其他组件访问证书有效期为1年。如果过期后没有更新证书可能会引起k8s集群的不可用**
k8s集群的CA证书过期处理
wzp1986的专栏
03-06 1000
不改变原CA的公私钥,安全地在线地更新集群CA
k8s集群查看证书到期时间
weixin_45112997的博客
02-02 1994
k8s集群查看证书到期时间
实战-在k8s平台部署个人博客
06-04
实战-在k8s平台部署个人博客
K8S集群ssl证书监控ssl-exporter资源清单及镜像文件
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
generator-k8s:用于Kubernetes部署的Yeoman Generator
01-30
Yeoman Generator for K8S资源 这是kubernetes资源的约旦生成器。 安装 要安装此软件包,只需运行 用法 安装yeoman (如果尚未安装) npm i -g yo 。 安装此软件包后,请使用: yo k8s 所有详细的生成器如下所述。...
基于x509-certificate-exporter实现K8S集群SSL证书监控资源清单
11-10
原文链接:https://blog.csdn.net/m0_37814112/article/details/134241442
content-k8s-provisioner
05-27
描述该存储库包含为UPP(交付,发布)和PAC平台创建/更新/销毁... 要使用预配器,请先在本地构建docker映像: docker build -t k8s-provisioner:local . 设置新集群要为特定平台或群集类型(例如pac / publishin
k8sca以及相关证书签发流程
最新发布
李姓门徒
04-08 1313
对于网站类的应用,网站管理员需要向权威证书签发机构(CA)申请证书,这通常需要花费一定的费用,也有非营利的证书签发机构,比如”Let's Encrypt“可以为用户免费签发证书。但对于Kubernetes这类应用来讲,它通常部署在企业内部,其管理面组件不需要暴露到公网,所以就不需要向外部的证书签发机构申请证书,系统管理员就可以自已签发证书供内部使用。 本文通过介绍部分内部组件的ca证书签发流程,引导相关的证书签发过程。
k8s使用外部ca证书
qyq88888的专栏
02-24 1558
k8s 使用 ca证书参考
K8S证书认证--基于CA签名的双向数字证书认证方式
chaishi1991的博客
07-16 3369
kubernetes 提供了多种安全认证机制, 其中对于集群通讯间可采用 TLS(https) 双向认证机制,也可采用基于 Token 或用户名密码的单向 tls 认证。k8s一般在内网部署,采用私有 IP 地址进行通讯,权威CA只能签署域名证书,我们这里采用自建CA。环境:Master:172.20.103.1Node:172.20.103.2基于CA签名的双向数字证书的生...
K8S二进制部署之定义CA证书与ETCD
l17605229954的博客
11-01 582
1、 服务器单向认证:只需要服务器端提供证书,客户端通过服务器端证书验证服务的身份,但服务器并不验证客户端的身份。④ 客户端私钥:客户端证书中包含的公钥所对应的私钥,同理,客户端使用该私钥来向服务器端证明自己是客户端证书的拥有者。⑤ 服务器端 CA证书:签发服务器端证书CA证书,客户端使用该 CA证书来验证服务器端证书的合法性。⑥ 客户端端 CA证书:签发客户端证书CA证书,服务器端使用该 CA证书来验证客户端证书的合法性。
k8s 老集群二进制 ca证书过期解决过程
不忘初心,方得始终
02-28 1248
修改.kube/config文件中的certificate-authority-data 字段内容。3. 更新.kube/config 文件(如果有多个master的话,每个节点都需要替换)查看/etc/kubernetes/ssl/ca.pem 有效期。4. 重启etcd和kube-apiserver (必须重启)得到ca.pem证书base64编码后的内容。1. 备份原来的配置文件及证书。2. 重新颁发ca证书
Kubernetesk8s证书机制
叮当猫的喵i
09-15 3427
参考 数字证书原理 数字签名是什么? 一文带你彻底厘清 Kubernetes 中的证书工作机制 前置知识 数字证书原理 梳理 k8s组件的认证方式 原理 数字证书的验证是在协议层面通过TLS完成的,应用层不需要特殊处理,有两种方式 单向TLS验证:客户端验证服务端的证书,只需要验证服务端身份 双向TLS验证:客户端和服务端双向验证,双方互相验证 k8s各个组件的接口都包含了集群的内部信息,因此采用双向验证,会涉及到的相关文件 服务器端证书:包含服务器端公钥和服务端身份信息 服务器端私钥 客户
K8S 创建 CA证书和秘钥
weixin_44772835的博客
01-18 287
K8S 创建 CA证书和秘钥
k8s学习笔记-创建CA 证书和密钥
snipercai的博客
09-19 2643
主机列表 本次实验选择5台主机,3台作为master主机,2台作为node节点 节点ip OS版本 hostname -f 安装软件 192.168.0.1 RHEL7.4 k8s-master01 docker,etcd,flanneld,kube-apiserver,kube-controller-manager,kube-scheduler 1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

心机の之蛙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值