kubeadm证书过期问题延期

最新推荐文章于 2024-05-23 09:42:22 发布
最新推荐文章于 2024-05-23 09:42:22 发布
阅读量826 收藏 3
点赞数 1
分类专栏: Kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cojn52/article/details/119184991
版权

kubeadm搭建过k8s集群的,应该都知道默认证书为一年,一年过期后,会导致kubelet服务启动不了,所以在部署完毕的时候要提前避免

[root@master pki]# kubectl get cs
Warning: v1 ComponentStatus is deprecated in v1.19+
NAME                 STATUS    MESSAGE             ERROR
controller-manager   Healthy   ok                  
etcd-0               Healthy   {"health":"true"}   
scheduler            Healthy   ok

我这个环境是1.19的
(1)查看证书过期时间

[root@master ~]# cd /etc/kubernetes/pki
[root@master pki]# for i in $(ls *.crt); do echo "===== $i ====="; openssl x509 -in $i -text -noout | grep -A 3 'Validity' ; done
===== apiserver.crt =====
        Validity
            Not Before: Dec 14 04:41:00 2020 GMT
            Not After : Dec 14 04:41:00 2021 GMT
        Subject: CN=kube-apiserver
===== apiserver-etcd-client.crt =====
        Validity
            Not Before: Dec 14 04:41:01 2020 GMT
            Not After : Dec 14 04:41:02 2021 GMT
        Subject: O=system:masters, CN=kube-apiserver-etcd-client
===== apiserver-kubelet-client.crt =====
        Validity
            Not Before: Dec 14 04:41:00 2020 GMT
            Not After : Dec 14 04:41:00 2021 GMT
        Subject: O=system:masters, CN=kube-apiserver-kubelet-client
===== ca.crt =====
        Validity
            Not Before: Dec 14 04:41:00 2020 GMT
            Not After : Dec 12 04:41:00 2030 GMT
        Subject: CN=kubernetes
===== front-proxy-ca.crt =====
        Validity
            Not Before: Dec 14 04:41:01 2020 GMT
            Not After : Dec 12 04:41:01 2030 GMT
        Subject: CN=front-proxy-ca
===== front-proxy-client.crt =====
        Validity
            Not Before: Dec 14 04:41:01 2020 GMT
            Not After : Dec 14 04:41:01 2021 GMT
        Subject: CN=front-proxy-client

通过上面看到证书是一年的额,所以我我们要在部署完、或者过期之前避免出现这个问题
(2)证书来源详细信息查看https://github.com/yuyicai/update-kube-cert
1、拉取脚本

git clone https://github.com/yuyicai/update-kube-cert.git
cd update-kubeadm-cert
chmod 755 update-kubeadm-cert.sh

执行时请使用 ./update-kubeadm-cert.sh all 或者 bash update-kubeadm-cert.sh all ,不要使用 sh update-kubeadm-cert.sh all,因为某些发行版 sh 并不是链接到 bash,可能会不兼容
2、更新证书
如果有多个 master 节点,在每个 master 节点都执行一次
执行命令:

./update-kubeadm-cert.sh all

将更新以下证书和 kubeconfig 配置文件

/etc/kubernetes
├── admin.conf
├── controller-manager.conf
├── scheduler.conf
├── kubelet.conf
└── pki
    ├── apiserver.crt
    ├── apiserver-etcd-client.crt
    ├── apiserver-kubelet-client.crt
    ├── front-proxy-client.crt
    └── etcd
        ├── healthcheck-client.crt
        ├── peer.crt
        └── server.crt

(3)重新查看证书过期时间

[root@master ~]# cd /etc/kubernetes/pki
[root@master pki]# for i in $(ls *.crt); do echo "===== $i ====="; openssl x509 -in $i -text -noout | grep -A 3 'Validity' ; done
===== apiserver.crt =====
        Validity
            Not Before: Jul 28 09:00:23 2021 GMT
            Not After : Jul 26 09:00:23 2031 GMT
        Subject: CN=kube-apiserver
===== apiserver-etcd-client.crt =====
        Validity
            Not Before: Jul 28 09:00:22 2021 GMT
            Not After : Jul 26 09:00:22 2031 GMT
        Subject: O=system:masters, CN=kube-apiserver-etcd-client
===== apiserver-kubelet-client.crt =====
        Validity
            Not Before: Jul 28 09:00:23 2021 GMT
            Not After : Jul 26 09:00:23 2031 GMT
        Subject: O=system:masters, CN=kube-apiserver-kubelet-client
===== ca.crt =====
        Validity
            Not Before: Dec 14 04:41:00 2020 GMT
            Not After : Dec 12 04:41:00 2030 GMT
        Subject: CN=kubernetes
===== front-proxy-ca.crt =====
        Validity
            Not Before: Dec 14 04:41:01 2020 GMT
            Not After : Dec 12 04:41:01 2030 GMT
        Subject: CN=front-proxy-ca
===== front-proxy-client.crt =====
        Validity
            Not Before: Jul 28 09:00:24 2021 GMT
            Not After : Jul 26 09:00:24 2031 GMT
        Subject: CN=front-proxy-client

发现延长了10年之久
(4)检查相关证书文件是否已更新

[root@master pki]# ll /etc/kubernetes/pki
总用量 64
-rw-r--r--. 1 root root 1220 728 17:00 apiserver.crt
-rw-r--r--. 1 root root 1094 728 17:00 apiserver-etcd-client.crt
-rw-------. 1 root root 1675 1214 2020 apiserver-etcd-client.key
-rw-------. 1 root root 1675 1214 2020 apiserver.key
-rw-r--r--. 1 root root 1103 728 17:00 apiserver-kubelet-client.crt
-rw-------. 1 root root 1675 1214 2020 apiserver-kubelet-client.key
-rw-r--r--. 1 root root 1066 1214 2020 ca.crt
-rw-------. 1 root root 1675 1214 2020 ca.key
-rw-r--r--  1 root root   17 728 17:00 ca.srl
drwxr-xr-x. 2 root root  176 728 17:00 etcd
-rw-r--r--. 1 root root 1078 1214 2020 front-proxy-ca.crt
-rw-------. 1 root root 1675 1214 2020 front-proxy-ca.key
-rw-r--r--  1 root root   17 728 17:00 front-proxy-ca.srl
-rw-r--r--. 1 root root 1058 728 17:00 front-proxy-client.crt
-rw-------. 1 root root 1675 1214 2020 front-proxy-client.key
-rw-------. 1 root root 1675 1214 2020 sa.key
-rw-------. 1 root root  451 1214 2020 sa.pub
[root@master pki]# ll /etc/kubernetes/pki/etcd
总用量 36
-rw-r--r--. 1 root root 1058 1214 2020 ca.crt
-rw-------. 1 root root 1675 1214 2020 ca.key
-rw-r--r--  1 root root   17 728 17:00 ca.srl
-rw-r--r--. 1 root root 1094 728 17:00 healthcheck-client.crt
-rw-------. 1 root root 1679 1214 2020 healthcheck-client.key
-rw-r--r--. 1 root root 1131 728 17:00 peer.crt
-rw-------. 1 root root 1675 1214 2020 peer.key
-rw-r--r--. 1 root root 1135 728 17:00 server.crt
-rw-------. 1 root root 1679 1214 2020 server.key

证书问题解决
(5)如果失败,失败回滚
脚本会自动备份 /etc/kubernetes 目录到 /etc/kubernetes.old-$(date +%Y%m%d) 目录(备份目录命名示例:kubernetes.old-20200325)
若更新证书失败需要回滚,手动将备份 /etc/kubernetes.old-$(date +%Y%m%d)目录覆盖 /etc/kubernetes 目录
(6) 其他方式
大于等于 v1.15 的版本建议直接使用 kubeadm alpha certs renew <cert_name> 来更新证书有效期,更新后证书有效期延长一年
若小于小于 v1.17 版本实用 kubeadm alpha certs renew <cert_name> 来更新证书,需要手动处理一下,这是一个 bug
若使用该脚本更新证书,无需再手动处理,可忽略该 bug
kubeadm alpha certs renew <cert_name>手动处理

junior1206
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s 证书延期脚本k8s 证书延期脚本
11-27
k8s 证书延期脚本k8s 证书延期脚本k8s 证书延期脚本k8s 证书延期脚本
装配型煤机制造企业延期交货问题及对策分析
07-01
从装配型煤机制造企业的产品生产特点,看到延期交货的问题比较突出。找出延期交货的主要原因,据此提出解决对策,成为企业发展的重中之重。延期交货问题主要由研发设计的问题不能有效解决、生产计划体系不完善、物料...
kubeadm证书过期问题
qq_23191379的博客
04-07 887
该脚本用于处理已过期或者即将过期kubernetes 集群证书 该脚本适用于所有 k8s 版本集群证书更新(使用 kubeadm 初始化的集群) kubeadm 生成的证书有效期为 1 年,该脚本可将 kubeadm 生成的证书有效期更新为 10 年 该脚本只处理 master 节点上的证书,node 节点的 kubelet 证书默认自动轮换更新,无需关心过期问题,只需关心 master 节点上的证书即可 1. 使用说明 该脚本仅需要在 master 节点执行,无需在 node 节点执行 若没有 e
k8s- kubernetes证书过期替换之kubeadm命令 certs renew all方式
liuyij3430448的博客
04-27 5736
**k8s集群之间的访问会使用到证书,如果使用kubeadm搭建的集群,默认CA证书的有效期为10年,其他组件访问证书的有效期为1年。如果过期后没有更新证书可能会引起k8s集群的不可用**
kubeadm初始化k8s证书过期解决方案
最新发布
JIAWAP的专栏
05-23 244
本文主要介绍kubenertes通过kubeadm初始化过程中所涉及到的证书面临过期时如何通过延期来解决的方法。
kubernetes(1.23)证书过期如何续期
老段工作室
04-27 2565
通过kubeadm安装的kubernetes集群各个组件所使用证书的期限为1年,本实验练习的是到期之后如何续期。
kubeadm kubernetes集群证书过期的处理方法
洒满阳光的午后的博客
11-16 929
动态证书重载目前还不被所有组件和证书支持,所有这项操作是必须的。正确的重启方法是临时将清单文件从 /etc/kubernetes/manifests/ 移除并等待 20 秒(参考 KubeletConfiguration 结构 中的fileCheckFrequency 值)。此时kubelet 会自动终止这些pod。pod终止后再将文件移回去,kubelet将重新创建这些pod。
kubeadm初始化的k8s集群,证书默认是1年的延期-详细笔记资料包
06-27
3. **使用kubeadm证书刷新功能**:从kubeadm 1.14版本开始,引入了`kubeadm upgrade证书 refresh`命令,能够方便地更新控制平面和工作节点的证书。执行此命令前,建议先备份现有证书,以免出现意外。 五、证书轮换...
PowerDesigner 16.5 License过期问题解决
05-29
然而,使用过程中可能会遇到各种问题,其中之一就是“PowerDesigner 16.5 License过期问题”。当这个情况发生时,用户无法正常启动或使用该软件,这直接影响了工作流程。下面我们将详细探讨这个问题的解决方法以及...
kubeadm初始化k8s集群延长证书过期时间.bash
06-01
kubeadm初始化k8s集群延长证书过期时间
延期还款协议书.doc
07-08
延期还款协议书
Kubeadm生成的k8s证书内容说明以及延长证书过期时间
weixin_43258559的博客
03-23 1624
kubeadm 部署的 Kubernetes 集群是以 pod 的方式运行 etcd 服务的, 在该 pod 的定义中, 配置了 Liveness 探活探针。
K8S证书过期处理
李半仙
10-09 1202
K8S证书过期处理 一、查看证书过期时间 find /etc/kubernetes/pki/ -type f -name "*.crt" -print|xargs -L 1 -t -i bash -c 'openssl x509 -noout -text -in {}|grep After' 二、备份原来的配置文件和证书 find /etc/kubernetes/pki/ -regex '.*.[crt|key]'|grep -v sa|grep -v ca|xargs -i cp {} /opt/ 三
K8S 证书过期解决办法
海鸥
04-14 1万+
问题现象 K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问。 查看K8S的日志: Part of the existing bootstrap client certificate is expired: 2021-06-10 06:29:04 +0000 UT 这是说明k8s使用的证书过期了,k8s自带证书是一年的有效期。所以我们解决问题的办法就是更换证书。 一、确认K8S证书过期时间 查看k8s某一证书过期时间:
使用 kubeadm 部署 Kubernetes 集群(三)kubeadm 初始化 k8s 证书过期解决方案
冰恋云的专栏
12-02 742
证书有效时间默认是一年,延长证书时间
k8s踩坑(三)、kubeadm证书/etcd证书过期处理
热门推荐
ywq935的博客
03-08 2万+
故障现象 使用kubeadm部署的集群,在运行了一年之后今天,出现k8s api无法调取的现象,使用kubectl命令获取资源均返回如下报错: Unable to connect to the server: x509: certificate has expired or is not yet valid 故障排查 查看apiserver.crt证书的签署日期和过期日期: root@9027:...
kubedam搭建的k8s证书过期处理方法
qq_40573385的博客
10-24 626
k8s证书过期处理方法
K8S证书过期解决办法之替换证书
q_hsolucky的博客
06-20 9821
k8s证书过期解决方案之替换证书
4、Deployment 运行应用,提示Flag --replicas has been deprecated, has no effect and will be removed in the
二哈欢乐多的博客
12-08 5115
[root@master ~]# kubectl run httpd-app --image=httpd --replicas=2 Flag --replicas has been deprecated, has no effect and will be removed in the future. pod/httpd-app created 在K8S v1.18.0以后,–replicas已弃用 ,推荐用 deployment 创建 pods 使用yaml文件的方式,创建nginx服务 step1:
arcgis9.2license延期更新2019
08-17
根据提供的问题,如果您想要延期更新ArcGIS 9.2的许可证,以下是一些可能的步骤。 首先,您需要联系Esri的客户支持团队,通过电话或电子邮件与他们沟通。您可以访问Esri的官方网站,找到与客户支持相关的联系信息。 在与客户支持团队联系之前,您需要收集一些必要的信息,例如您的ArcGIS许可证号码、您的许可证到期日期以及您的联系信息。 一旦与Esri的客户支持团队联系,您可以告知他们您希望延期更新ArcGIS 9.2的许可证。他们将向您提供关于如何进行延期更新的具体步骤和要求的信息。 通常情况下,您可能需要填写一份延期更新申请表格,并将其提交给Esri。在填写申请表格时,请确保提供准确的信息,并阅读并理解所有相关的条款和条件。 一旦您的申请被接受,并且您已经支付了延期更新费用(如果有的话),您将获得一份更新的许可证文件。 需要注意的是,ArcGIS 9.2是旧版本的软件,Esri可能已经停止提供对该版本的支持和更新。因此,在考虑延期更新之前,您可能需要考虑升级到最新版本的ArcGIS软件,以获得最新功能和更好的技术支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值