kubespray续签k8s证书

最新推荐文章于 2024-05-15 18:27:43 发布
最新推荐文章于 2024-05-15 18:27:43 发布
阅读量350 收藏
点赞数
分类专栏: k8s 文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/OfficerGoodbody/article/details/126230382
版权

环境:
k8s双主服务器ip和主机名:
192.168.0.122 k8s-master-122
192.168.0.121 k8s-master-121
查看证书过期时间

openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not '

备份etcd

export ETCDCTL_API=3
etcdctl snapshot save "/root/$(date +%Y%m%d_%H%M%S)_snapshot.db" --cacert=/etc/ssl/etcd/ssl/ca.pem --cert=/etc/ssl/etcd/ssl/node-k8s-master-122.pem --key=/etc/ssl/etcd/ssl/node-k8s-master-122-key.pem --endpoints=https://192.168.0.122:2379

master1备份证书

cp -ar /etc/kubernetes{,.bak}

Kubespray部署的k8s会生成以下证书
K8s组件之间认证需要的证书

ca.crt ca.key

apiserver.crt apiserver.key

apiserver-kubelet-client.crt apiserver-kubelet-client.key

front-proxy-ca.crt front-proxy-ca.key front-proxy-client.crt front-proxy-client.key

sa.key sa.pub

Etcd认证的证书

ca.pem ca-key.pem

admin-node*.pem admin-node*-key.pem

member-node*.pem member-node*-key.pem

node-node*.pem node-node*-key.pem

ca.crt默认是10年,apiserver.crt apiserver-kubelet-client.crt默认一年,front-proxy-ca.crt是独立的ca证书,默认是10年, front-proxy-client.crt默认1年。Etcd的证书默认是100年

我们只需要更新apiserver.crt apiserver-kubelet-client.crt front-proxy-client即可

Master1节点重新生成证书,并同步证书至其他master节点

kubeadm alpha certs renew apiserver --config "/etc/kubernetes/kubeadm-config.yaml"
kubeadm alpha certs renew apiserver-kubelet-client --config "/etc/kubernetes/kubeadm-config.yaml"
kubeadm alpha certs renew front-proxy-client --config "/etc/kubernetes/kubeadm-config.yaml"

删除所有主机组件之间认证的kubeconfig

Kubeconfig是k8s其他组件与apiserver通信的认证密钥,apiserver证书更新了,这些密钥文件都需要更新。

ansible -i ./inventory/mycluster/hosts.yaml all -m shell -a "cd /etc/kubernetes && rm -rf admin.conf scheduler.conf controller-manager.conf kubelet.conf bootstrap-kubelet.conf"

Master节点分别再次生成kubeconfig(所有master节点都需要执行)

kubeadm init phase kubeconfig all --config "/etc/kubernetes/kubeadm-config.yaml"

安装有kubectl的节点覆盖config

\cp /etc/kubernetes/admin.conf /root/.kube/config

master1节点重启k8s相关组件

docker ps |grep apiserver|grep -v pause|awk '{print $1}'|xargs docker kill -s HUP

docker ps |grep kube-scheduler|grep -v pause|awk '{print $1}'|xargs docker kill -s HUP

docker ps |grep kube-controller|grep -v pause|awk '{print $1}'|xargs docker kill -s HUP

systemctl restart kubelet

拷贝master1的证书到master2上

scp -r /etc/kubernetes/ssl root@192.168.0.121:/etc/kubernetes/

master2上删除旧配置

cd /etc/kubernetes && rm -rf admin.conf scheduler.conf controller-manager.conf kubelet.conf bootstrap-kubelet.conf

重新生成新配置

kubeadm init phase kubeconfig all --config "/etc/kubernetes/kubeadm-config.yaml"

master2节点重启k8s相关组件

docker ps |grep apiserver|grep -v pause|awk '{print $1}'|xargs docker kill -s HUP

docker ps |grep kube-scheduler|grep -v pause|awk '{print $1}'|xargs docker kill -s HUP

docker ps |grep kube-controller|grep -v pause|awk '{print $1}'|xargs docker kill -s HUP

systemctl restart kubelet

查看节点状态

kubectl get node

worker node节点无需操作,证书会通过kubelet自动更新,各节点执行以下命令验证续签是否生效:

echo -n | openssl s_client -connect localhost:6443 2>&1 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | openssl x509 -text -noout | grep Not

echo -n | openssl s_client -connect localhost:10257 2>&1 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | openssl x509 -text -noout | grep Not

echo -n | openssl s_client -connect localhost:10259 2>&1 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | openssl x509 -text -noout | grep Not

参考文章:
https://www.freeaihub.com/post/108449.html

OfficerGoodbody
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Let’s Encrypt免费SSL证书获取以及自动续签
08-03
Let’s Encrypt免费SSL证书获取以及自动续签,配合Nginx实测有效
windows Let's Encrypt工具
08-21
Let's Encrypt是国外一个公共的免费SSL项目,由 Linux 基金会托管,由Mozilla、思科、Akamai、...4、Let's Encrypt证书有效期三个月,每三个月需要续签证书 see why 这个工具是Let's Encrypt证书在windows平台使用的。
更新 k8s 证书续签
poemchapter的博客
09-22 435
更新 k8s 证书续签
k8s集群证书续签
m0_59424504的博客
06-03 252
x509:certificate has expired or is not yet valid
k8s证书续期
最新发布
weixin_40668374的博客
05-15 251
如果证书即将到期,此处的天数应该是几天,在过期之前进行续期,保证集群的可用。6.再次查看期限,检查服务是否正常。避免出现问题可以回退。5.替换更新后的文件。
实战:k8s证书续签-2023.6.19(测试成功)
weixin_39246554的博客
06-23 3126
k8s集群核心的证书有2套,还有1套非核心的(即使出问题也问题不大)。⚠️ 如果是kubeadm搭建的k8s集群,其有效期为1年。二进制搭建可以指定证书过期时间的。
Kubernetes Kubeadm Kubelet 证书自动续签
小楼一夜听春雨,深巷明朝卖杏花
02-25 4384
Kubelet 证书自动续签 K8s证书一般分为两套:K8s组件(apiserver)和Etcd 假如按角色来分,证书分为管理节点和工作节点。 • 管理节点:如果是kubeadm部署则自动生成,如果是二进制部署一般由cfssl或者openssl生成。 • 工作节点:工作节点主要是指kubelet连接apiserver所需的客户端证书,这个证书由controller-manager组件自动颁发,默认是一年,如果到期,kubelet将无法使用过期的证书连接apiserver,从而导致无法正常工作,日志会
AMH免费账户自动续签
02-08
Linux面板AMH面板,免费账户自动续签,定时执行脚本无需手动登录网站续签
基于acess_token和refresh_token实现token续签
03-19
基于acess_token和refresh_token实现token续签
一行命令,轻松搞定SSL证书自动续期
03-05
一行命令,轻松搞定SSL证书自动续期。 SSL证书,SSL证书管理,SSL证书 自动续期,SSL 证书自动更新,https证书管理,https证书管理,证书自动续签,nginx证书自动续期工具,nginx证书管理。
kubernetes证书更新
虫虫的博客
02-21 746
kubernetes证书更新
K8S集群 - 证书续期及注意事项
caryeko的专栏
10-27 435
重启容器kube-apiserver、kube-controller-manager、kube-scheduler组件容器。2023年10月26日,预发环境的K8S kubectl命令报错,提示证书到期。
kubeadm部署k8s 证书升级和 kubelet证书自动续期
weixin_38582858的博客
08-27 506
vi /etc/kubernetes/manifests/kube-controller-manager.yaml //文件中添加一下两行。配置完成后,重启kube-controller-manager pod使之生效。默认kubelet证书轮询已启用。
解决K8S证书过期步骤(续一年)
weixin_41914251的博客
06-25 1850
K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/pki 路径下,kubeadm 生成的证书默认有效为 1 年,因此需要定时更新证书,否则证书到期会导致整个集群不可用。本篇文章主要介绍如何通过 kubeadm 重新生成证书。有其他的办法可以更长时间的延长证书。8、替换kubeconfig。9、查看证书时间(续一年)7、重启kubelet。4、重新生成全部证书。6、生成所有配置文件。
通过脚本将kubeadm安装的k8s证书延期10年
甄能忽悠的博客
05-19 1970
通过脚本将kubeadm证书延期10年 前言 kubernetes 集群证书是各个组件交互的一个凭证,证书过期之后回直接影响到集群的使用,且kubeadm的证书默认有效期是1年,因此证书做延期,我们义不容辞。 检查下当前证书的有效期 [root@k8s-master ]# kubeadm alpha certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration]
kubernetes 二进制部署证书续签
weixin_43490243的博客
10-09 288
experimental-cluster-signing-duration=87600h0m0s 为kubelet客户端证书颁发有效期10年。- feature-gates=RotateKubeletServerCertificate=true 启用server证书颁发。2. 配置kubelet证书申请自动签发。再查看证书有效期,可以看到已经是十年。2、配置kubelet组件。
Kubernetes kubeadm 管理证书续签证书
小楼一夜听春雨,深巷明朝卖杏花
06-08 886
各个证书的过期时间 可用于检查证书过期时间: 手动续订apiserver的证书-apiserver.crt 当前 apiserver.crt 到期时间是 May 22, 2021 15:26 UTC 剩余327天执行renew更新: 重启kubelet自动重新创建核心组件 验证: apiserver证书到期时间发生了变化, 不过不是顺延一年, 而是 从你 执行renew成功的时间开始续签一年。如果要将所有证书续签一年,则执行:查看全部估清了以上结束了.使用外部CA续订证书 1.生成
宝塔ssl验证域名失败_宝塔面板开启反向代理后,怎么自动续签Let's Encrypt免费SSL证书...
06-02
宝塔面板开启反向代理后,需要在反向代理服务中添加一些特定的配置来实现自动续签Let's Encrypt免费SSL证书。 以下是实现的步骤: 1. 登录到宝塔面板,选择需要开启反向代理的网站,并进入网站设置。 2. 在网站...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值