【Kubernetes】关于Kubeadm搭建的集群的证书更新问题

最新推荐文章于 2024-08-12 16:43:37 发布
最新推荐文章于 2024-08-12 16:43:37 发布
阅读量699 收藏
点赞数
分类专栏: Kubernetes 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cnskylee/article/details/119816998
版权
本文介绍了使用Kubeadm搭建的Kubernetes集群证书默认只有一年有效期,如何通过`kubeadm certs renew`命令进行证书更新,确保集群安全。详细探讨了命令的用法,指出官方文档翻译的错误,并提供了正确理解。
摘要由CSDN通过智能技术生成

        使用二进制部署K8s集群的时候,我们可以在创建证书的时候,指定证书的有效期,比如10年。但是,使用Kubeadm创建的K8s集群,证书的有效期默认只有一年。所以,对于Kubeadmin创建的集群,我们就需要了解如何在证书有效期前,及时的更新证书。

        下面是使用Kubeadm创建的集群(2021年8月19日搭建)的证书有效期查询结果:

# kubeadm certs check-expiration
[check-expiration] Reading configuration from the cluster...
[check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -o yaml'

CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
admin.conf                 Aug 19, 2022 03:57 UTC   364d                                    no      
apiserver                  Aug 19, 2022 03:57 UTC   364d            ca
了解本专栏 订阅专栏 解锁全文 超级会员免费看
cnskylee
关注
专栏目录
订阅专栏
云原生运维实战 | 快速解决高可用K8s集群证书到期问题
WeiyiGeek 唯一极客IT知识分享
06-29 885
移除并等待 20 秒(参考 KubeletConfiguration 结构 中的fileCheckFrequency 值), 等待pod终止后再将配置清单移会原始目录,然后kubelet将会重建这些Pod。由于作者水平有限,本章错漏缺点在所难免,希望读者批评指正,若有问题或建议请在文章末尾留下您宝贵的经验知识,或联系邮箱地址。Step 8.若kuebelt证书更新,我们需要在集群证书签名请求CSR中进行批准。原文地址: https://blog.weiyigeek.top/
kubeadm修改默认证书有效期,解决证书过期问题
ywq935的博客
05-12 4734
kubeadm 修改默认证书有效期 前言 出于安全考虑,k8s 团队推荐定期更新版本,因此kubeadm生成的证书,有效期默认在代码中写死为1年,一旦证书过期,k8s集群将会崩溃,因此,续期 or 升级,成了一个一年一度必选题。但在生产环境中,每一次版本更新可能存在未知的风险,给已经稳定运行的集群带来诸多不确定性,而每年续期一次证书,对管理不太友好,频繁手动操作也可能会带来额外的风险。去年部署的1.14的集群证书快要到期了,现在决定修改kubeadm的源码重新编译,将续期证书的有效期进行延长。本篇记载分析
kubeadm证书续签
最新发布
tingting0119的博客
08-12 696
版本:k8s集群中各个组件(如api服务器、节点、控制器管理器等)之间使用证书进行身份验证和安全传输数据。然而,由于证书具有有效期,一旦过期,集群中的组件将无法正常通信,导致应用程序无法使用。1、kubectl命令无法连接到集群,会出现上图的告警2、集群中的Pod可能无法启动或运行异常,因为kubelet组件无法与API服务器进行通信3、集群的监控和日志收集等功能可能受到影响,因为组件无法正常运行。
k8s证书续期及版本升级
geriletuma
07-28 438
k8s证书续期及版本升级
kube-api log:authentication handshake failed: x509: certificate has expired or is not yet valid
weixin_39833509的博客
09-26 713
【代码】kube-api log:authentication handshake failed: x509: certificate has expired or is not yet valid。
搭建安装kubesphere平台——在 Linux 上以 All-in-One 模式,附安装步骤—{全篇踩坑排坑记} kubernetes:k8s
m0_61731600的博客
06-05 3649
搭建安装kubesphere平台——在 Linux 上以 All-in-One 模式,附安装步骤—{全篇踩坑排坑记}
kubernetes--用kubeadm 搭建集群
Hiro18的博客
08-18 757
1.kubeadm部署方式介绍1.kubeadm部署方式介绍kubeadm是官方社区推出的一个用于快速部署kubernetes集群的工具,这个工具能通过两条指令完成一个kubernetes集群的部署:,第一 :创建一个 Master节点kubeadm init-第二 :将Nole节点加入到当前集群中 $ kubeadm join2.安装步骤(需细致小心)......
【云原生--KubernetesKubeadm搭建k8s集群
夏颜的博客
07-28 793
KubeadmKubeadm是一个K8s部署工具,提供kubeadminit和kubeadmjoin,用于快速部署Kubernetes集群。二进制包从github下载发行版的二进制包,手动部署每个组件,组成Kubernetes集群Kubeadm降低部署门槛,但屏蔽了很多细节,遇到问题很难排查。如果想更容易可控,推荐使用二进制包部署Kubernetes集群,虽然手动部署麻烦点,期间可以学习很多工作原理,也利于后期维护。.........
ansible-kubernetes-kubeadm-ha:使用Ansible和Kubeadm安装高可用性的“堆叠控制平面” Kubernetes集群
01-31
在IT行业中,Kubernetes(简称K8s)已经成为容器编排的事实标准,而Ansible则是一种流行的...它涵盖了从基础架构配置、Kubernetes控制平面搭建、应用部署到存储管理等多个层面,是构建企业级Kubernetes集群的有力工具。
kubelet 证书轮换失败的解决方案
云原生实验室
03-23 3103
在上次处理kubelet.go node "master" not found问题之后的一段时间里面,我又遇到了相同的问题发生在其他节点。它的表现方式是/etc/kubernetes/bootstrap-kubelet.conf: no such file or directory我此前也写了一篇文章处理 k8s kubelet.go node "master" not ...
使用kubeadm方式安装kuberneters1.17.1
咖啡爬虫
02-12 1540
kuberneters安装 准备 hostname IP 硬件 系统 软件 elk-master 192.168.1.24 2核4G CentOS 7.2 docker-ce-18.09.7、kuberneters版本1.17.1 查看centos版本、cpu、设置hostname、关闭防火墙、设置SeLinux、关闭swap [root@elk-master ~]# host...
创建高可用集群kubeadm init 出现问题
m0_55837832的博客
03-21 4794
kubeadm init 报错如下 kubeadm init --control-plane-endpoint "vip:6443" --upload-certs --image-repository registry.aliyuncs.com/google_containers --pod-network-cidr=10.244.0.0/16 --kubernetes-version 1.23.5 wait-control-plane] Waiting for the kubelet to boot
k8s集群证书更新步骤
ml344739968的专栏
08-22 1346
k8s证书过期更新步骤
kubernetes certs update 【证书更新
爱死亡机器人
07-25 1049
查看 kubelet是否支持证书自动轮换,默认轮换的证书位于目录。查看集群指定证书位置。备份 kubelet。
kubeadm kubernetes集群证书过期的处理方法
洒满阳光的午后的博客
11-16 966
动态证书重载目前还不被所有组件和证书支持,所有这项操作是必须的。正确的重启方法是临时将清单文件从 /etc/kubernetes/manifests/ 移除并等待 20 秒(参考 KubeletConfiguration 结构 中的fileCheckFrequency 值)。此时kubelet 会自动终止这些pod。pod终止后再将文件移回去,kubelet将重新创建这些pod。
使用 kubeadm 进行证书管理
yuxingwu9872的博客
04-22 845
使用 kubeadm certs renew 命令 可以随时手动续订证书,该命令使用存储在/etc/kubernetes/pki中的 CA (or front-proxy-CA)证书和密钥来更新证书。c.重启 kube-apiserver、kube-controller-manager、kube-scheduler、etcd 组件后生效。修改kube-controller-manager启动参数(所有master节点修改)重启kube-controller-manager和kubelet。
使用kubeadm部署k8s(2、k8s集群部署)
zhaikaiyun的博客
02-11 2154
1、kube-proxy开启ipvs的前置条件默认情况下,Kube-proxy将在kubeadm部署的集群中以iptables模式运行,需要注意的是,当内核版本大于4.19时,移除了nf_conntrack_ipv4模块,kubernetes官方建议使用nf_conntrack代替,否则报错无法找到nf_conntrack_ipv4模块,模式改为lvs调度的方式,kube-proxy主要解决的是s...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cnskylee

技术分享我是认真的,期待您打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值