K8S集群 - 证书续期及注意事项

最新推荐文章于 2024-04-15 08:32:06 发布
最新推荐文章于 2024-04-15 08:32:06 发布
阅读量408 收藏 3
点赞数
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caryeko/article/details/134077153
版权

参考资料:

续期1年:解决K8S证书过期步骤(续一年)_k8s证书过期如何更换_Li---的博客-CSDN博客

重启容器:kube-apiserver、kube-controller-manager、kube-scheduler组件容器 https://www.cnblogs.com/zoujiaojiao/p/15161862.html

正文开始

现象

2023年10月26日,预发环境的K8S kubectl命令报错,提示证书到期。

解决方案

1、查看证书到期时间:

kubeadm certs check-expiration

2、备份k8s配置

cp -rp /etc/kubernetes /etc/kubernetes.bak

3、删除旧的证书

rm -rf /etc/kubernetes/pki/apiserver.key

4、重新生成全部证书

kubeadm certs renew all

5、备份旧配置文件

mv /etc/kubernetes/*.conf /tmp/

6、生成所有配置文件

kubeadm init phase kubeconfig all

7、重启kubelet

systemctl restart kubelet

8、替换kubeconfig

cp /etc/kubernetes/admin.conf ~/.kube/config

9、查看证书时间(续一年)

kubeadm alpha certs check-expiration

10、重启kube-apiserver、kube-controller-manager、kube-scheduler组件容器

docker ps |grep kube-apiserver|grep -v pause|awk '{print $1}'|xargs -i docker restart {}

docker ps |grep kube-controller-manage|grep -v pause|awk '{print $1}'|xargs -i docker restart {}

docker ps |grep kube-scheduler|grep -v pause|awk '{print $1}'|xargs -i docker restart {}

11、查看kube-controller-manager日志

kubectl logs -f -n kube-system kube-controller-manager-master01

E1026 08:02:25.772750 1 leaderelection.go:325] error retrieving resource lock kube-system/kube-controller-manager: Unauthorized

以上日志不再打印,说明OK了。

卡亦克
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
k8s集群下canal-server的伪高可用实践
01-07
k8s集群下canal-server的伪高可用实践前言问题解决方案总结 前言 前面我们已经介绍了canal的admin、server、adapter三个部分的容器化以及在k8s集群下的搭建过程。在创建canal-server的时候,k8s环境下,容器重启会造成ip地址的变动给我们带来了一些问题,我们通过在创建canal-server的时候使用statefuset类型,使其可以通过固定的域名去向canal-admin注册,从而保证了canal-server的连接地址的稳定不变。本文将利用容器异常自动重启这个特性,搭建一个anal-server的伪高可用版本。 问题 在使用server的默认配置时
K8S集群证书监控ssl-exporter监控模板
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
K8S 证书过期解决办法
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
12-29 561
问题现象K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问。执行命令发现报错:查看K8S的日志:这是说明k8s使用的证书过期了,k8s自带证书是一年的有效期。所以我们解决问题的办法就是更换证书
k8skubernetes证书续期_kubernetes 多master更新证书
最新发布
2401_83739503的博客
04-15 762
本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。kubernetes集群上kubeadm 安装的证书默认为 1 年,注意原证书文件必须保留在服务器上才能做延期操作,否则就会重新生成,集群可能无法恢复,这里在证书快到期之前进行续期操作。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。
k8s 二进制安装过程错误日志记录(持续更新)
离风的博客
11-25 2029
解决方案:修改docker,只需在/etc/docker/daemon.json中,添加"exec-opts": [“native.cgroupdriver=systemd”]即可,本文最初的docker配置可供参考。解决方案:apiserver中指定的etcd服务配置错误,检查配置修改即可。解决方案:kubectl config 配置错误,检查修改。解决方案:这是因为kube-apiserver的RBAC。解决方案:在kubelet中追加配置。controller日志。apiserver日志。
k8s解决 kubectl get pod 查看后No resources found问题
河静
04-29 8590
1. 创建一个资源 # kubectl create -f nginx-ds.yaml 2. 查看pod显示no resources found # kubectl get pod No resources found 3. 查看日志 3.1 查看kube-apiserver日志,无异常 3.2 查看kube-kubelet日志,无异常 3.3 查看kube-scheduler日志如下 查看链接127.0.0.1:8000被拒绝,后来在本地查看并没有8000端口,我的apiserver的端口设置的是8
k8s配置Controller Manager出错
qq_21844179的博客
06-30 9933
请问有人知道启动配置Controller Manager文件为 [Unit] Description=Kubernetes Controller Manager Documentation=https://github.com/GoogleCloudPlatform/kubernetes [Service] ExecStart=/opt/kubernetes/bin/kube-controller...
etcd频繁选举leader,导致scheduler、controller-manager组件一直重启
qq_43164571的博客
09-14 8479
1、controller-manager、scheduler日志中都出现了类似的错误 E0913 08:56:23.800130 1 leaderelection.go:324] error retrieving resource lock kube-system/kube-controller-manager: etcdserver: leader changed 因为我们的ETCD频繁的更换主,而导致我们两个组件一直在重启 2、解决办法 2.1、集群中有某些机器时间不同步 2.2、扩大
解决K8S证书过期步骤(续一年)
weixin_41914251的博客
06-25 1772
K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/pki 路径下,kubeadm 生成的证书默认有效为 1 年,因此需要定时更新证书,否则证书到期会导致整个集群不可用。本篇文章主要介绍如何通过 kubeadm 重新生成证书。有其他的办法可以更长时间的延长证书。8、替换kubeconfig。9、查看证书时间(续一年)7、重启kubelet。4、重新生成全部证书。6、生成所有配置文件。
k8skubernetes证书续期
球球的博客
05-31 5150
简介 kubernetes集群上kubeadm 安装的证书默认为 1 年,注意原证书文件必须保留在服务器上才能做延期操作,否则就会重新生成,集群可能无法恢复,这里在证书快到期之前进行续期操作。 具体操作 查看证书到期时间 一般k8s证书文件都在/etc/kubernetes/pki/下 openssl x509 -noout -text -in /etc/kubernetes/pki/apiserver.crt 多个证书一起查看到期时间 for item in `find /etc/kubernetes/
部署k8s遇到的问题
qq_42216071的博客
01-28 2476
只做记录,具体问题需要查看日志和配置文件
K8S集群ssl证书监控ssl-exporter资源清单及镜像文件
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
K8S集群ssl证书监控ssl-exporter资源清单文件及镜像文件
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
Hyper-V下搭建K8S集群-07-在本地给远程k8s集群安装DashBoard
01-07
我们已经在win10的hyper-v里搭建了一个k8s集群,有两个节点:一个master,一个node1。并且在win10本地配置了集群管理工具,来访问这个集群。这一节我们就使用本地的yaml文件来为远程k8s集群部署DashBoard. 1.配置...
k8s_难产的ingress架构初体验(一)
酱园里一鸭鸭の笔记
05-26 5750
在 https://editor.csdn.net/md/?articleId=106170316中跟着github中的说明进行了初体验。但是发现并不是每个模块都会用到 github说明 初学版 后端service准备 两个version的myapp备用,并配好对应的service ame: myappsvc Namespace: default Labels: <none> Annotations:
[问题未处理]-kubernetes报错request canceled (Client.Timeout exceeded while awaiting headers)
爷来辣的博客
12-12 9887
kubernetes 上执行journalctl -f -u kube-controller-manager node1 正常 但是node2会报错 日志偶尔有报错如下 Dec 12 14:04:29 kubernetes-master03 kube-controller-manager[713]: E1212 14:04:29.959903 713 leaderelec...
k8s之所有resources类型
a807719447的专栏
04-06 4587
以下组件基于1.19版本 name short name API group namespace kind bingds true bing componentStatuses cs false ComponetStatus configMaps cm true ConfigMap endpoints ep true Endpoints events ev true Event limitranges limits true LimitRange nam
2022学习0427【K8S 集群IO高,导致服务挂掉,排障记录】
qq_43264065的博客
04-27 4314
庆祝一下,今天解决了一个困扰我一个多月的问题! 【问题背景】:2核2G的腾讯云S5服务器上通过minikube部署了K8S集群。上面有nodejs,grafana两个deployment,以及filebeat一个ds 【问题现像】: 1.开始观察到grafanna常常无法访问,master节点NotReady。 2.docker ps发现apiserver和scheduler频繁重启(约6mins,不影响服务) 3.docker ps发现proxy节点有过重启记录 (雪崩的根因,proxy一崩,master
k8s实践(6)--Kubernetes安全:API Server访问控制
黄规速博客:学如逆水行舟,不进则退
06-16 3058
Kubernetes安全 安全永远是一个重大的话题,特别是云计算平台,更需要设计出一套完善的安全方案,以应对复杂的场景。 Kubernetes主要使用Docker作为应用承载环境,Kubernetes首先设计出一套API和敏感信息处理方案,当然也基于Docker提供容器安全控制。以下是Kubernetes的安全设计原则: 1. 保证容器与其运行的宿主机之间有明确的隔离 2. 限制容器对基础设施...
k8s集群证书集群vip无效怎么处理
05-30
如果 Kubernetes 集群证书对 VIP 无效,可以按照以下步骤进行处理: 1. 检查 Kubernetes API Server 的证书是否正确安装。证书会被安装到 kube-apiserver 的证书目录下。 2. 如果证书已过期或被撤销,需要重新...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值