用小白的方法自定义K8S集群证书,超级简单使用!!

最新推荐文章于 2022-10-28 11:37:45 发布
最新推荐文章于 2022-10-28 11:37:45 发布
阅读量415 收藏 1
点赞数 1
文章标签: kubernetes linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/My_Love_Linux/article/details/115937198
版权

 

 

 

   

就是关于K8S集群架构内部的证书问题,我们都知道使用kubeadm来初始化集群并且已容器交付的方式来搭建K8S是非常简单的。但是这里会存在一个大坑就是集群内部的证书只有一年有效期,一旦到期集群就挂了。需要手动续期并且可能会对正在运行的服务造成影响。
那么有没有方法可以避开二进制安装的繁琐,又不需要修改kubeadm源码来使用证书的有效期做自定义呢,肯定有,而且超简单。

 这里我们已生产环境来说场景是刚刚使用kubeadm部署好了一般的K8S集群系统(一台MASTER,N台NODE)

 从上图可以看到我的MASTER的kubeadm初始化已经成功,并且加入了两个node节点。另外证书有效期也是只有一年到2022年4月13日,到期就会挂掉。这里就好比喻是我们在生产环境中

刚刚搭建好的集群。里面没有跑任何的服务和容器。让我从这里开始自定义集群的证书有效期吧!

第一步:修改系统时间

由于系统是新的啥也没有随便修改时间没有任何风险,现在就修改时间为:2031年4月21日 。

然后我们在看看集群的情况,死翘翘了么。

第二步:手动续签证书

   在目前的这个时间段2031年手动续签证书,命令:kubeadm certs renew all

可以看到证书的年限已经变成2032年,你自己定多少年就多少年。但是到这一步都不能确定集群是不是正常,我们需要重新校正北京时间

第四步:校正时间

这个不用多说了,使用ntpdate ntp.aliyun.com 同步阿里云的时间即可,让我们看看集群的情况吧

 

 

圆满成功,这个时间已经解决了证书的问题,在去部署其他服务吧!!

这个方法纯粹是我个人想出来,目前来说就二进制安装,修改kubeadm源码,以外的第三种方法,也是最最最简单的方法了。但是缺点是只能使用与标准集群。

我个人还是建议尽可能使用二进制的方法去搭建集群。容错会更高。

My_Love_Linux
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s自定义证书
yxy364792412的博客
09-26 204
k8s ingress证书 kubectl create secret tls demo.brain.lenovo.com --cert=demo.cert --key=demo.key -n catl 自定义证书需要配host vim /etc/hosts xxx demo.brain.lenovo.com 服务器证书 cenos 7 cat ailabca-chain.cert >> /etc/pki/tls/certs/ca-bundle.crt 如果CAfile被修改
Chrome下可用的的Kubernetes Dashboard证书的制作
01-08
在前面的文章中介绍了Dashboard 2.0.0的部署和使用方法,但是在Chrome 58+的版本无法使用,这篇文章用于memo和整理一下对应方法证书请求文件:CSR [root@host131 k8s]# cat dashboard-csr.config [ req ] default_bits = 2048 prompt = no default_md = sha256 req_extensions = req_ext distinguished_name = dn [ dn ] C = CN ST = LiaoNing L = DaLian O = K8S OU = System
K8S集群证书
core815的专栏
11-03 426
地址:https://github.com/yuyicai/update-kube-cert 说明:K8s集群证书过期处理,更新kubeadm生成的证书有效期为10年。针对旧版集群(小于v1.15),当然大于等于v1.15也是可以用这个脚本更新,新版可直接kubeadm alpha certs renew <cert_name>更新 (deal with K8s cluster certificate expired) ...
kubernetes(K8S)创建自签TLS证书
aiduo4911的博客
09-09 1237
TLS证书用于进行通信使用,组件需要证书关系如下: 组件 需要使用证书 etcd ca.pem server.pem server-key.pem flannel ca.pem server.pem server-key.pem kube-apiserver ca.pem server.pem server-key.pem kubelet ca.pem c...
Dashboard使用定义证书
迷途的攻城狮
08-07 9639
Dashboard使用定义证书 Kubernetes Dashboard的默认配置中,挂载的是一个空证书,浏览器访问时会一直提示非安全连接,访问时需要添加例外,部分情况下特别麻烦: 为解决此问题,我们需要为Dashboard提供完整的TLS证书。这里使用自签名证书来演示: 1、创建自签名CA [root@k8s-master tls]# pwd /root/kubernetes/...
K8S集群证书监控ssl-exporter监控模板
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
使用Prometheus全方位监控K8s集群
02-07
使用Prometheus全方位监控K8s集群
K8S集群ssl证书监控ssl-exporter资源清单及镜像文件
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
Ansible自动化部署K8S集群(包含Ansible,Playbook的使用
02-17
Ansible自动化部署Kubernetes,超级简单,几分钟就可以部署完成,有部署过程及源代码,Ansible的简单使用以及playbook的使用例子,有完整代码
kubeadm初始化k8s集群延长证书过期时间.bash
06-01
kubeadm初始化k8s集群延长证书过期时间
K8s集群认证之RBAC
weixin_30295091的博客
08-02 353
kubernetes认证,授权概括总结: RBAC简明总结摘要:API Server认证授权过程:   subject(主体)----->认证----->授权【action(可做什么)】------>准入控制【Object(能对那些资源对象做操作)】 认证:   有多种方式,比较常用的:token,tls,user...
K8S集群架构和证书
yan_0916的博客
02-26 4905
一、单节点集群架构1、解决存储2、管理K8S集群的操作,都需要在master上执行 一、单节点集群架构 master管理worker node 1、解决存储 ETCD 一般来说ETCD如果用于单master节点,ETcd只有一个, 多节点的K8S集群,假设master+worker node 一共20台以内,ETCD中的数据为2G 2、管理K8S集群的操作,都需要在master上执行 客户端管理工具,kubectl(命令行的基操)可以对yml文件进行转换成json并且对yml文件的语法进行检查 K8S安.
k8s dashboard 一键生成ssl证书脚本
k8s dashboard 一键生成ssl证书脚本
01-25 2094
k8s dashboard 一键生成ssl证书脚本 #!/bin/bash openssl genrsa -out ca.key 2048 openssl req -new -x509 -key ca.key -out ca.crt -days 3650 -subj &quot;/C=CN/ST=HB/L=WH/O=DM/OU=YPT/CN=CA&quot; openssl genrsa -out dashboard...
纯手工搭建kubernetes(k8s)1.9集群 - (三)认证授权和服务发现
weixin_34303897的博客
04-10 320
1. 理解认证授权 1.1 为什么要认证 想理解认证,我们得从认证解决什么问题、防止什么问题的发生入手。 防止什么问题呢?是防止有人***你的集群,root你的机器后让我们集群依然安全吗?不是吧,root都到手了,那就为所欲为,防不胜防了。 其实网络安全本身就是为了解决在某些假设成立的条件下如何防范的问题。比如一个非常重要的假设就是两个节点或者ip之间的通讯网络是不可信任的,可能会被第三方窃取...
kubernetes-dashboard自定义证书,解决一些浏览器无法访问dashboard问题
tzizi19881227的博客
10-25 2883
创建自签名CA [root@docker9-230 ~]# mkdir /ssl && cd /ssl [root@docker9-230 ssl]# openssl genrsa -out ca.key 2048 [root@docker9-230 ssl]# openssl req -new -x509 -key ca.key -out ca.crt -days 3650 -s...
K8S各种各样的证书介绍
Vic的博客
10-28 3065
例如,所有etcd server证书需要是同一个CA签署的,所有的etcd peer证书也需要是同一个CA签署的,而一个etcd server证书和一个etcd peer证书,完全可以是两个CA机构签署的,彼此没有任何关系。其实实际上,使用一套证书(都使用一套CA来签署)一样可以搭建出K8S,一样可以上生产,但是理清这些证书的关系,在遇到因为证书错误,请求被拒绝的现象的时候,不至于无从下手,而且如果没有搞清证书之间的关系,在维护或者解决问题的时候,贸然更换了证书,弄不好会把整个系统搞瘫。
kubernetes集群配置https证书
一个程序员的博客
07-28 1937
下载组件 wget https://github.com/OpenVPN/easy-rsa/archive/master.zip unzip master.zip cd easy-rsa-master/easyrsa3 ./easyrsa init-pki ./easyrsa --batch "--req-cn=192.168.51.26@`date +%s`" build-ca nopa
kubernetes的云中漫步(七)--kubeadm使用ssl证书说明
zy_xingdian的博客
01-08 284
使用定义证书: 默认情况下, kubeadm 会生成运行一个集群所需的全部证书。 你可以通过提供你自己的证书来改变这个行为策略。 如果要这样做, 你必须将证书文件放置在通过 --cert-dir 命令行参数或者配置文件里的 CertificatesDir 配置项指明的目录中。默认的值是 /etc/kubernetes/pki。 如果在运行 kubeadm init 之前存在给定的证书和私钥对,...
kubeadm使用ssl证书说明
qfxulei的博客
05-07 378
kubeadm使用ssl证书说明 默认情况下, kubeadm 会生成运行一个集群所需的全部证书。 你可以通过提供你自己的证书来改变这个行为策略。 如果要这样做, 你必须将证书文件放置在通过 --cert-dir 命令行参数或者配置文件里的 CertificatesDir 配置项指明的目录中。默认的值是 /etc/kubernetes/pki。 如果在运行 kubeadm init 之前存在...
k8s集群证书对集群vip无效怎么处理
最新发布
05-30
如果 Kubernetes 集群的证书对 VIP 无效,可以按照以下步骤进行处理: 1. 检查 Kubernetes API Server 的证书是否正确安装。证书会被安装到 kube-apiserver 的证书目录下。 2. 如果证书已过期或被撤销,需要重新...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值