k8s kubeadm高可用集群证书续期

已于 2023-06-15 11:37:08 修改
阅读量2k 收藏 4
点赞数
分类专栏: kubernetes 文章标签: kubernetes 容器 云原生
于 2023-06-14 17:09:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ApexPredator/article/details/131210704
版权

1.查看证书期限

kubeadm certs check-expiration

2.更改系统时间为证书过期的时间

 因为要保持集群的时间一直,使用xshell对多个会话同时执行以下命令

systemctl stop chrondy  #停止时间同步工具

date -s 06/15/2024    #更改系统时间为证书过期后的时间

date    #查看当前系统时间

3. 再次查看k8s的证书

kubeadm certs check-expiration

可以看到residual time变成了invalid

此时执行任何kubectl的命令都会提示证书过期的报错

4.证书续期(以下是对一个master节点的续期)

kubeadm certs renew all

查看 续期后的证书期限

kubeadm certs check-expiration

 residual time会重新续期为一年

5.查看配置文件是否更新

ls -ll /etc/kubernetes/

根据配置文件的更改时间可以知道,k8s组件的配置文件在续期证书后自动更新了,但是kubelet并没有自动更新,因为证书续期的时候是没有给kubelet的证书续期的,kubelet用的还是旧的过期证书,需要手动更新kubelet证书

一般情况下是不用重启k8s组件的,如果配置没有生效的情况下需要使用以下命令手动重启k8s组件

docker ps |grep -v pause |grep -E "etcd|scheduler|controller|apiserver"  |awk '{print $1}' |xargs docker restart

加入去除pause的原因是,k8s的组件在docker中有两个容器,一个是带pod,我们重启的是不带pod的

6.更新kubelet证书

在更新kubelet证书前,还需要替换以下config的配置,因为更新证书也是不会自动更新config配置的

cp /etc/kubernetes/admin.conf ~/.kube/config  #不更改此配置的也会报错

现在来手动更新kubelet证书

cat /etc/kubernetes/admin.conf

将此crt和key全都一起复制下来

cp /etc/kubernetes/kubelet.conf /etc/kubernetes/kubelet.conf.bak

将配置文件备份一份    #在续期完成后可以重新用回原来的配置文件

vi /etc/kubernetes/kubelet.conf

将此处的crt和key配置删除

 把刚刚从admin.conf复制的crt和key的所有内容粘贴进来,重启kubelet服务

systemctl restart kubelet

查看kubelet 证书,在里面会看到新生成的证书

ls -ll /var/lib/kubelet/pki/

如果特殊情况下,证书在重启kubelet后也没生成得话,就删除软连接里的老证书,在重启一次kubelet

rm -rf /var/lib/kubelet/pki/kubelet-client-2024-06-15-00-03-33.pem

 systemctl restart kubelet

重启完成后就会生成新的证书了

通过以下命令查看证书是否续期成功

openssl x509 -in /var/lib/kubelet/pki/kubelet-client-current.pem -noout -text |grep Not

 至此该节点证书续期完成,可以正常使用kubectl命令

其余master节点也是按照以上步骤续期证书即可

7.work节点证书续期

work节点只要续期kubelet证书即可

备份kubelet配置文件   #在续期完成后可以重新用回原来的配置文件

cp /etc/kubernetes/kubelet.conf /etc/kubernetes/kubelet.conf.bak

手动更新kubelet证书

cat /etc/kubernetes/admin.conf   #在任意一个续期后的master节点执行此命令

将此crt和key全都一起复制下来 

 vi /etc/kubernetes/kubelet.conf

将此处的crt和key配置删除

 把刚刚从admin.conf复制的crt和key的所有内容粘贴进来,重启kubelet服务

systemctl restart kubelet

查看kubelet 证书,在里面会看到新生成的证书

ls -ll /var/lib/kubelet/pki/

  或者通过以下命令查看证书是否续期成功

openssl x509 -in /var/lib/kubelet/pki/kubelet-client-current.pem -noout -text |grep Not

至此该节点证书续期完成,可以正常使用

其余work节点也是按照以上步骤续期证书即可

Apex Predator
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubeadm初始化k8s集群延长证书过期时间.bash
06-01
kubeadm初始化k8s集群延长证书过期时间
kubernetes集群证书一年后过期,如何续期
小楼一夜听春雨,深巷明朝卖杏花
02-25 1865
模拟证书过期 由kubeadm部署的集群,所生成的证书证书有效期为一年,过期之后集群就不能再次使用了,我们可以对证书进行续期,这样集群就可以继续使用。可以通过如下命令查看具体过期时间: kubeadm alpha certs check-expiration 这里显示证书在2021年7月5日过期,然后把所有节点的系统时间调整到 2022年10月1日: 所有节点的时间都要调整。 然后在master(vms71上)执行kubectl命令: [root@vms71 ~]# kubectl
kubeadm更新证书(1.23.4版本)
运维那些事儿
04-14 3405
1、查看证书到期时间 kubeadm certs check-expiration 1.1、输出如下内容 [root@master pki]# kubeadm certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get c
K8S高可用集群架构实现
01-27
Kubernetes作为近几年最具颠覆性的容器编排技术,广泛应用与企业的生产环境中,相较于前几年的docker-swarm的编排方式,Kubernetes无疑是站在一个更高的角度对容器进行管理,方便日后项目的普适性,容易对架构进行扩展。生产环境下更注重于集群高可用,不同于测试环境的单主节点,在生产环境下需要配置至少两个主节点两个node节点,保证在主节点挂掉之后,node节点的kubelet还能访问到另一个主节点的apiserver等组件进行运作。在基于前面搭建的k8s集群,如下k8s-master1192.168.175.128k8s-master2192.168.175.1
使用kubeadm搭建高可用K8s集群
11-03
使用kubeadm搭建高可用K8s集群
编译kubeadm续签k8s1.22.0高可用集群证书100年
因上努力,果上随缘。但行好事,莫问前程。
04-26 855
目录一、查看证书过期时间1.1 方式一1.2 方式二二、通过命令续期2.1 查看证书有效期2.2 备份原有数据2.3 备份证书2.4 更新证书2.5 确认证书有效期2.6 更新kubeconfig文件2.7 更新客户端证书2.8 重启相关的pod2.9 检查当前集群状态是否正常2.10 检查etcd集群状态三、编译源码kubeadm证书时间自定义3.1 备份集群配置3.2 获取对应的kubeadm源码3.3 修改CA证书有效期3.4 修改其他证书有效期3.5 安装go环境进行编译3.6 go设置国内代理3
k8s kubeadm 部署证书续期
qq_36270681的博客
02-03 3747
k8s 证书分为2套,一套是apiserver 和etcd 管理节点:如果是kubeadm 部署则自动生成,二进制一般由cfssl 或者openssl 工作节点: 工作节点主要指kubelet 连接apiserver 所需的客户端证书,这个证书是由controller-manager组件自动颁发,默认是一年,如果到期,kubelet 将无法使用过期的证书连接apiserver,日志将会报错 (x509:certificate has expired or is not yet valid) 红线:
kubeadm 进行续费证书
清风笑烟语
05-21 155
【代码】kubeadm 进行续费证书
Kubernetes Kubeadm Kubelet 证书自动续签
小楼一夜听春雨,深巷明朝卖杏花
02-25 4284
Kubelet 证书自动续签 K8s证书一般分为两套:K8s组件(apiserver)和Etcd 假如按角色来分,证书分为管理节点和工作节点。 • 管理节点:如果是kubeadm部署则自动生成,如果是二进制部署一般由cfssl或者openssl生成。 • 工作节点:工作节点主要是指kubelet连接apiserver所需的客户端证书,这个证书由controller-manager组件自动颁发,默认是一年,如果到期,kubelet将无法使用过期的证书连接apiserver,从而导致无法正常工作,日志会
使用kubeadm搭建高可用K8s集群_用来搭建k8s高可用集群_多master节点的具体过程.md
12-30
用来搭建k8s高可用集群,haproxy,keepalived,k8s高可用集群搭建过程
部署一套完整的K8s高可用集群kubeadm-V1.21)
05-09
部署一套完整的K8s高可用集群kubeadm-V1.21)
k8s1.18.1用kubeadm安装证书续期
m0_67505824的博客
03-16 554
查看k8s中所有证书的到期时间: kubeadm alpha certs check-expiration image.png 查看CA证书过期时间: openssl x509 -in /etc/kubernetes/pki/ca.crt -noout -text |grep Not image.png 查看集群证书过期时间: openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not '
k8s- kubernetes证书过期替换之kubeadm命令 certs renew all方式
liuyij3430448的博客
04-27 5165
**k8s集群之间的访问会使用到证书,如果使用kubeadm搭建的集群,默认CA证书的有效期为10年,其他组件访问证书的有效期为1年。如果过期后没有更新证书可能会引起k8s集群的不可用**
kubernetes_23_kubeadm方式部署证书管理
10-07 462
kubeadm方式部署证书管理
kubeadm方式部署的k8s修改证书年限
奈斯菟咪踢呦
06-14 1496
kubeadm方式部署的k8s修改证书年限
Kubernetes kubeadm 证书到期,更新证书
大漠知秋的加油站
08-27 7964
Kubernetes kubeadm 证书到期,更新证书 版本 服务 版本 CentOS 7.8 Kubernetes 1.18.x 证书问题   可能很多人在一开始学习 k8s 的时候,没有注意过证书的问题,在使用 kubeadm 安装 k8s 单机/集群的过程中就是一路往下,如果是学习或者测试使用,使用完毕之后就把虚拟机或者临时云服务器删除了,那也不会发现证书问题。如果这个 k8s 环境要使用 1 年以上,就会碰到这个问题,因为默认证书有效期为 1 年,CA 根证书是 10 年:
kubeadm默认证书一年到期续约
upupup_every的博客
01-04 192
更新kubeadm证书
K8s(二十三):Pod的生命周期详解
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-21 1767
🔴 K8s(二十三):Pod的生命周期详解
k8s环境prometheus operator监控集群外资源
最新发布
mingqing的博客
04-30 458
参考网站 k8s环境添加其他节点 参考文档 文档一 文档二 基于prometheus operator 引入外部exporter参考文档 rabbitmq 引入外部exporter参考文档 windows exporte 监控 K8s 集群外服务的两种方式 k8s环境prometheus operator添加node-exporter 方式一:通过 ServiceMonitor 方式 创建 Service 和 ServiceMonitor 文件名为 external-node.yaml /root/test
k8s高可用集群部署
12-08
以下是K8s高可用集群部署的步骤: 1.方案简介: Kubernetes高可用集群至少需要3个Master节点和2个Worker节点,Master节点之间通过HA组件实现高可用,Worker节点用于运行容器。 2.集群搭建: 2.1 安装要求:每个节点至少2个CPU,2GB内存,20GB磁盘空间。 2.2 准备环境:关闭防火墙,关闭swap,安装docker和kubeadm。 2.3 master节点部署keepalived:在每个Master节点上安装keepalived,用于实现Master节点的高可用。 2.4 master节点部署haproxy:在每个Master节点上安装haproxy,用于实现负载均衡。 2.5 所有节点安装docker/kubeadm/kubelet:在所有节点上安装docker、kubeadmkubelet。 2.6 部署k8smaster01:在第一个Master节点上执行kubeadm init命令,初始化Kubernetes集群。 2.7 安装集群网络:安装Flannel或Calico等网络插件,用于实现Pod之间的通信。 2.8 k8smaster02加入节点:在第二个Master节点上执行在k8smaster01上init后输出的join命令,加入Kubernetes集群。 2.9 k8snode01加入集群:在第一个Worker节点上执行在k8smaster01上init后输出的join命令,加入Kubernetes集群。 3.测试集群:在集群中创建Pod,测试Pod之间的通信和负载均衡。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值