kubernetes集群一个master两个node证书过期解决

已于 2023-10-11 10:14:37 修改
阅读量348 收藏
点赞数
文章标签: kubernetes java 容器
于 2023-10-10 15:59:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BY_xiaopeng/article/details/133739652
版权

1.集群表现现象:

1.kubelet无法启动,并报如下错误:

[root@k8s01 ~]# journalctl -u kubelet.service  -f
-- Logs begin at Tue 2023-10-10 10:07:58 CST. --
Nov 10 15:30:31 k8s01 systemd[1]: Started kubelet: The Kubernetes Node Agent.
Nov 10 15:30:31 k8s01 kubelet[25591]: Flag --network-plugin has been deprecated, will be removed along with dockershim.
Nov 10 15:30:31 k8s01 kubelet[25591]: Flag --network-plugin has been deprecated, will be removed along with dockershim.
Nov 10 15:30:31 k8s01 kubelet[25591]: I1110 15:30:31.153621   25591 server.go:440] "Kubelet version" kubeletVersion="v1.21.2"
Nov 10 15:30:31 k8s01 kubelet[25591]: I1110 15:30:31.154104   25591 server.go:851] "Client rotation is on, will bootstrap in background"
Nov 10 15:30:31 k8s01 kubelet[25591]: E1110 15:30:31.157009   25591 bootstrap.go:265] part of the existing bootstrap client certificate in /etc/kubernetes/kubelet.conf is expired: 2024-10-08 06:25:08 +0000 UTC
Nov 10 15:30:31 k8s01 kubelet[25591]: E1110 15:30:31.157090   25591 server.go:292] "Failed to run kubelet" err="failed to run Kubelet: unable to load bootstrap kubeconfig: stat /etc/kubernetes/bootstrap-kubelet.conf: no such file or directory"
Nov 10 15:30:31 k8s01 systemd[1]: kubelet.service: main process exited, code=exited, status=1/FAILURE
Nov 10 15:30:31 k8s01 systemd[1]: Unit kubelet.service entered failed state.
Nov 10 15:30:31 k8s01 systemd[1]: kubelet.service failed.
Nov 10 15:30:41 k8s01 systemd[1]: kubelet.service holdoff time over, scheduling restart.
Nov 10 15:30:41 k8s01 systemd[1]: Stopped kubelet: The Kubernetes Node Agent.
Nov 10 15:30:41 k8s01 systemd[1]: Started kubelet: The Kubernetes Node Agent.
Nov 10 15:30:41 k8s01 kubelet[25676]: Flag --network-plugin has been deprecated, will be removed along with dockershim.
Nov 10 15:30:41 k8s01 kubelet[25676]: Flag --network-plugin has been deprecated, will be removed along with dockershim.
Nov 10 15:30:41 k8s01 kubelet[25676]: I1110 15:30:41.404211   25676 server.go:440] "Kubelet version" kubeletVersion="v1.21.2"
Nov 10 15:30:41 k8s01 kubelet[25676]: I1110 15:30:41.404751   25676 server.go:851] "Client rotation is on, will bootstrap in background"
Nov 10 15:30:41 k8s01 kubelet[25676]: E1110 15:30:41.407590   25676 bootstrap.go:265] part of the existing bootstrap client certificate in /etc/kubernetes/kubelet.conf is expired: 2024-10-08 06:25:08 +0000 UTC
Nov 10 15:30:41 k8s01 kubelet[25676]: E1110 15:30:41.407670   25676 server.go:292] "Failed to run kubelet" err="failed to run Kubelet: unable to load bootstrap kubeconfig: stat /etc/kubernetes/bootstrap-kubelet.conf: no such file or directory"
Nov 10 15:30:41 k8s01 systemd[1]: kubelet.service: main process exited, code=exited, status=1/FAILURE
Nov 10 15:30:41 k8s01 systemd[1]: Unit kubelet.service entered failed state.
Nov 10 15:30:41 k8s01 systemd[1]: kubelet.service failed.

【分析】:

  • failed to run Kubelet: unable to load bootstrap kubeconfig: stat /etc/kubernetes/bootstrap-kubelet.conf: no such file or directory

在前边我们就可以看到这个报错,如果你对k8s的认证比较了解的话,就会知道bootstrap-kubelet.conf是k8s API的引导令牌(Bootstrap Tokens)认证相关的文件。该机制根据证书生成token,然后将信息写字这个文件里。

  • kubectl命令报错如下:
[root@k8s01 ~]# kubectl get nodes
Unable to connect to the server: x509: certificate has expired or is not yet valid: current time 2024-11-10T15:30:55+08:00 is after 2024-10-08T06:25:06Z

【分析】:

这里我们可以定位到证书问题,证书过期。

2.解决集群问题

  • 备份并重新生成证书
[root@k8s01 ~]# cd /etc/kubernetes/pki/
[root@k8s01 pki]# mkdir backup
[root@k8s01 pki]# mv  apiserver.crt apiserver-etcd-client.key apiserver-kubelet-client.crt front-proxy-ca.crt front-proxy-client.crt front-proxy-client.key front-proxy-ca.key apiserver-kubelet-client.key apiserver.key apiserver-etcd-client.crt backup
[root@k8s01 pki]# kubeadm init phase certs all
  • 备份并重新生成配置文件
[root@k8s01 pki]# cd /etc/kubernetes/
[root@k8s01 kubernetes]# mkdir backup
[root@k8s01 kubernetes]# mv admin.conf controller-manager.conf kubelet.conf scheduler.conf  backup
[root@k8s01 kubernetes]# kubeadm  init phase kubeconfig all
  • 拷贝用户权限文件
[root@k8s01 kubernetes]# cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
  • 查看证书
[root@k8s01 ~]# kubeadm  certs check-expiration
  • 启动kubelet
[root@k8s01 ~]# systemctl restart kubelet
[root@k8s01 ~]# systemctl status kubelet
● kubelet.service - kubelet: The Kubernetes Node Agent
   Loaded: loaded (/usr/lib/systemd/system/kubelet.service; enabled; vendor preset: disabled)
  Drop-In: /usr/lib/systemd/system/kubelet.service.d
           └─10-kubeadm.conf
   Active: active (running) since Tue 2023-10-10 13:53:03 CST; 6s ago
     Docs: https://kubernetes.io/docs/
 Main PID: 5111 (kubelet)
    Tasks: 14
   Memory: 29.0M
   CGroup: /system.slice/kubelet.service
  • 处理工作节点证书
删除工作节点:
[root@k8s01 ~]# kubectl delete nodes k8s02
[root@k8s01 ~]# kubectl delete nodes k8s03
生成加入节点命令:
[root@k8s01 ~]# kubeadm token create --print-join-command
kubeadm join 172.11.0.74:6443 --token msbk7j.8ynbop6j6irn9qw7 --discovery-token-ca-cert-hash sha256:d5bd944fa55cd38f8a2515958e9523f85dbae93e3e91e7b50a15cc9b33d196f0
把工作节点重新加入节点:
[root@k8s02 ~]# kubeadm reset -f
[root@k8s02 ~]# kubeadm join 172.11.0.74:6443 --token msbk7j.8ynbop6j6irn9qw7 --discovery-token-ca-cert-hash sha256:d5bd944fa55cd38f8a2515958e9523f85dbae93e3e91e7b50a15cc9b33d196f0
[root@k8s03 ~]# kubeadm reset -f
[root@k8s03 ~]# kubeadm join 172.11.0.74:6443 --token msbk7j.8ynbop6j6irn9qw7 --discovery-token-ca-cert-hash sha256:d5bd944fa55cd38f8a2515958e9523f85dbae93e3e91e7b50a15cc9b33d196f0
闫利朋
关注
k8s kubelet日志报...“ err=“failed to parse kubelet flag: unknown flag: --network-plugin“问题解决梳理
z19861216的博客
10-23 1517
k8s kubelet日志报..." err="failed to parse kubelet flag: unknown flag: --network-plugin"问题解决梳理
运维案例之记一次Kubernetes集群证书过期或延期操作处理实践指南
WeiyiGeek 唯一极客IT知识分享
02-06 698
在年后上班的第一天,我像往常一样,登录到K8S集群之中依次检查应用,在检查开发测试环境的k8s集群时,发现执行kubectl命令报证书过期错误,顿时心情都不好了,却也无可奈何,只能进行证书续签了,由于是高可用集群遇到了许多坑,为了方便自己以及广大的运维工作者,解决相关问题,遂整理了此篇文章。# 连接 Api-server 失败,报证书过期不可用。2.实践环境# 集群版本# 集群节点# 论保存过程配置文件的重要性,在搭建k8s集群时建议备份资源清单。
K8S 证书到期解决方法
weixin_44772835的博客
03-18 381
前戏登录测试环境查看 pod 时保持如下内容Unable to connect to the server: x509: certificate has expired or is not yet valid: current time 2023-03-16T23:18:09+08:00 is after 2023-02-...
K8S证书过期解决办法之替换证书
q_hsolucky的博客
06-20 1万+
k8s证书过期解决方案之替换证书
【云原生】Kubernetes----证书过期处理办法
最新发布
hy199707的博客
06-19 2253
随着云计算技术的飞速发展,Kubernetes已成为企业构建、扩展和管理容器化应用程序的首选平台。然而,随着集群的持续运行,在企业中经常会遇到一个问题——Kubernetes集群证书过期。这个问题不仅影响集群的稳定性,还可能带来安全风险。本文将深入探讨Kubernetes证书过期的问题、影响以及解决方案
docker加了--insecure-registry后docker启动报错Failed to start Docker Application Container Engine.
崔崇鑫的博客,你linux/云运维工作中的百科全书。
11-09 4278
文章目录报错说明原因及处理方法 报错说明 算是记录一个坑吧,花了我挺多时间解决这个破问题的。 今天给集群node节点配置一个–insecure-registry的IP,配置内容如下 [root@node1 ~]# cat /usr/lib/systemd/system/docker.service | grep ExecStart #ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
已收藏!kafka服务器最大消息
qq_38514574的博客
07-01 188
Part 1微服务架构设计概述 1.1 传统应用架构的问题 1.2 微服务架构是什么 1.3 微服务架构有哪些特点和挑战 1.4 如何搭建微服务架构 Part 2微服务开发框架 2.1 Spring Boot 是什么 2.2 如何使用Spring Boot框架 2.3 Spring Boot生产级特性 Part 3微服务网关 3.1 Node.js 是什么 3.2 如何使用 Node.js 3.3 使用Node.js搭建微服务网关 Part 4微服务注册与发现. 4.1 ZooKeepe
Kubernetes】关于K8s集群证书过期问题的处理过程记录
cnskylee的博客
09-28 2930
一个相对完整的思路,处理k8s集群证书过期问题。
Kubernetes证书篇:手动生成二进制kubernetes集群相关证书
东城绝神
04-24 1839
《《Kubernetes证书篇:二进制手动生成kubernetes集群相关证书
二进制方式搭建Kubernetes高可用集群(超丰富的组件概念理论总结)
热门推荐
江晓龙的博客
09-23 7万+
二进制方式部署Kubernetes高可用集群 文章目录二进制方式部署Kubernetes高可用集群1.环境准备1.1.Kubernetes高可用集群部署方式1.2.Kubernetes集群弃用docker容器1.3.Kubernetes集群所需的证书1.4.环境准备1.5.安装cfssl证书生成工具2.操作系统初始化配置3.部署Etcd集群3.1.使用cfssl证书工具生成etcd证书3.2.部署etcd集群4.部署Docker服务4.1.安装docker4.2.为docker创建systemctl启动脚本
Kubernetes(1):Kubernetes 集群搭建
u013938578的博客
11-08 244
kubeadm是官方社区推出的一个用于快速部署kubernetes集群的工具。这个工具能通过两条指令完成一个kubernetes集群的部署:创建一个 Master 节点将一个 Node 节点加入到当前集群中。
Kubernetes集群更换证书(正常更新方法、和更新证书为99年)
m0_59308369的博客
12-14 7201
今天使用k8s集群发现报错。查看kubelet状态,发现无法启动, 查看docker服务,发现api-server也没用启动enabled;3s ago查看日志 ,发现报错找不到 bootstrap-kubelet.conf。
K8S启动失败,kubelet.service: main process exited, code=exited, status=1/FAILURE
qq_28720861的博客
12-17 1万+
查看k8s运行状态 systemctl status kubelet 查看K8S运行日志 journalctl -xefu kubelet docker驱动与Kubelet的驱动程序不同导致 1、查看docker驱动 docker info|grep Driver 2、查看kubelet驱动 systemctl show --property=Environment kubelet |cat 3、修改docker驱动,查看/etc/docker/daemon....
线上k8s集群节点授权过期问题处理
09-23 1362
现象 线上大部分容器都莫名其妙的crash了,当时匆忙忘了截图,通过命令kubectl get nodes查看节点状态发现80%的node节点状态都为NotReady状态。 问题处理过程 kube-apiserver启动错误问题 最开始先是公司另一位同事处理的,不知道操作了什么导致apiserver起不来了,查看报错日志如下: Unable to create storage backend: config (&{ /registry [https://xx.xx.xx.1:2379 http.
k8s 证书过期解决
jiangbenchu的博客
11-16 9602
K8S CA证书是10年,但是组件证书的日期只有1年,为了证书一直可用状态需要更新,目前主流的一共有3种: 1、版本升级,只要升级就会让各个证书延期1年,官方设置1年有效期的目的就是希望用户在一年内能升级1次,详见:k8s升级 2、通过命令续期 (这种只能延长一年) 3、编译源码Kubeadm,设置10年 一、查看证书过期时间 vim test.sh for item in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`; do openssl x5
docker 安装及启动错误的排除
weixin_33943836的博客
01-24 8067
2019独角兽企业重金招聘Python工程师标准>>> ...
kubernetes集群的服务器重启之后遇到的问题
qq_27834905的博客
05-26 3667
kubernetes集群部署见我的上一篇博客。部署kubernetes集群的服务器重启之后,执行kubectl get nodes报错: [root@k8s-master ~]# kubectl get pods The connection to the server [master_ip]:6443 was refused - did you specify the right host or port? 查询进程,发现没有kube的进程启动: [root@k8s-master ~]# ps -aux
Docker 启动network报错解决方案
weixin_33860528的博客
06-24 2584
发现一个docker容器无法远程连接,使用docker stop 也不行无法停止下来,后来发现所有的docker容器都无法连接于是重启docker看看能不能恢复正常,系统是centos 7 启动命令systemctl start docker一直卡着不动,kill掉docker的进程docker -d再次启动还是无法启动按照网上的方法是删除 rm -fr /var/lib/d...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值