持续集成系列----k8s证书过期问题处理(一年后踩坑)

最新推荐文章于 2024-05-18 14:56:04 发布
最新推荐文章于 2024-05-18 14:56:04 发布
阅读量2.6k 收藏 2
点赞数
分类专栏: 持续集成 容器编排
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ct1150/article/details/100144015
版权

背景

突然收到Prometheus的报警,提示k8s证书离过期只差七天,wtf?!黑人问号脸,查了下资料发现kubeadm安装的集群,默认的自签名证书有效期只有一年。。。要是没有告警,证书到期,集群停摆,业务崩盘,是不是直接可以走人了

解决方案

查看证书到期情况

find /etc/kubernetes/pki/ -type f -name "*.crt" -print|egrep -v 'ca.crt$'|xargs -L 1 -t  -i bash -c 'openssl x509  -noout -text -in {}|grep After'

备份原证书,排除ca与sa证书

find /etc/kubernetes/pki/ -regex '.*.[crt|key]'|grep -v sa|grep -v ca|xargs -i mv {}{,bak}

导出kubeadm配置

kubeadm config view > cluster.yaml

重新生成master证书

kubeadm alpha phase certs etcd-healthcheck-client --config cluster.yaml
kubeadm alpha phase certs etcd-peer --config cluster.yaml
kubeadm alpha phase certs etcd-server --config cluster.yaml
kubeadm alpha phase certs front-proxy-client--config cluster.yaml
kubeadm
最低0.47元/天 解锁文章
ct1150
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
云原生运维实战 | 快速解决高可用K8s集群证书到期问题
WeiyiGeek 唯一极客IT知识分享
06-29 789
移除并等待 20 秒(参考 KubeletConfiguration 结构 中的fileCheckFrequency 值), 等待pod终止后再将配置清单移会原始目录,然后kubelet将会重建这些Pod。由于作者水平有限,本章错漏缺点在所难免,希望读者批评指正,若有问题或建议请在文章末尾留下您宝贵的经验知识,或联系邮箱地址。Step 8.若kuebelt证书未更新,我们需要在集群证书签名请求CSR中进行批准。原文地址: https://blog.weiyigeek.top/
未使用自定义secret并且使用helm安装harhor证书过期处理方法
潮落拾贝
05-17 403
直接使用helm安装harbor,在secret中的harbor-ingress的证书有效期是1年,过期后的处理方法需要用helm卸载harhor,并用harbor在原配置的基础上再重装一次就可以解决。我承认这是个笨方法,也许还有别的办法,不过我这里是使用上述办法实验成功的。重装不用害怕数据丢失只要你之前harbor安装时数据已经持久化到存储或本地硬盘上了,一般重装不会丢数据。
K8S 证书过期解决办法
海鸥
04-14 1万+
问题现象 K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问。 查看K8S的日志: Part of the existing bootstrap client certificate is expired: 2021-06-10 06:29:04 +0000 UT 这是说明k8s使用的证书过期了,k8s自带证书是一年的有效期。所以我们解决问题的办法就是更换证书。 一、确认K8S证书过期时间 查看k8s某一证书过期时间:
k8s证书过期处理 手动生成证书、凭证
最新发布
寂夜了无痕的博客
05-18 1316
k8s证书过期处理 手动生成证书、凭证
K8S异常之Harbor证书过期处理(完整版流程)
一掬净土
03-03 1684
在登录harbor仓库时, 提示证书已经过期
k8s(三)、kubeadm证书/etcd证书过期处理
热门推荐
ywq935的博客
03-08 2万+
故障现象 使用kubeadm部署的集群,在运行了一年之后今天,出现k8s api无法调取的现象,使用kubectl命令获取资源均返回如下报错: Unable to connect to the server: x509: certificate has expired or is not yet valid 故障排查 查看apiserver.crt证书的签署日期和过期日期: root@9027:...
K8S集群ssl证书监控ssl-exporter资源清单及镜像文件
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
基于x509-certificate-exporter实现K8S集群SSL证书监控资源清单
11-10
原文链接:https://blog.csdn.net/m0_37814112/article/details/134241442
解决k8s中xxl-job执行器pod重建后无法读取到执行日志的问题
08-24
但在k8s中,即使将本地文件通过nfs独立存储,在pod重建后也通常会因为ip变更,找不到执行器,导致读取不到执行日志。解决方案为单独再部署一个xxl-job-read-log服务,将读日志的请求都转到这个服务上,由这个服务...
k8s-证书过期处理办法.txt
08-15
k8s正式设置了一年的有效期时间,到期后集群无法使用,需要重新对证书进行修改
K8S集群ssl证书监控ssl-exporter资源清单文件及镜像文件
01-14
在Kubernetes(K8S)集群环境中,安全套接字层(SSL)证书的监控是确保服务安全和稳定的重要环节。SSL证书用于加密网络通信,确保数据传输的安全性。`ssl-exporter`是一款专为监控SSL/TLS证书状态设计的Prometheus ...
解决K8s证书过期问题
m0_52931616的博客
11-02 3181
解决K8s证书过期问题
k8s记录——证书一年有效期
weixin_34227447的博客
06-12 7150
kubernetes集群证书重签 依照https://github.com/strongit/kubeadm-ha/ 安装步骤,kubeadm init安装后的集群存在证书过期问题。现修复如下:思路如下,1、保留ca.crt ca.key front-proxy-ca.crt front-proxy-ca.key,根证书有效期十年2、openssl重新签注3、kubeadm alpha phase...
K8S证书过期问题处理方法
wangwu9999的博客
12-06 4343
最近有些客户在使用SuperMap iManager for K8S的过程中遇到服务无法访问,查看K8S的日志 Part of the existing bootstrap client certificate is expired: 2021-06-10 06:29:04 +0000 UT 这是说明k8s使用的证书过期了,k8s自带证书是一年的有效期。所以我们解决问题的办法就是更换证书。 以下延长证书过期的方法适合kubernetes1.14、1.15、1.16、1.17、1.18版本 下载所需
Kubernetes Kubeadm Kubelet 证书自动续签
小楼一夜听春雨,深巷明朝卖杏花
02-25 4426
Kubelet 证书自动续签 K8s证书一般分为两套:K8s组件(apiserver)和Etcd 假如按角色来分,证书分为管理节点和工作节点。 • 管理节点:如果是kubeadm部署则自动生成,如果是二进制部署一般由cfssl或者openssl生成。 • 工作节点:工作节点主要是指kubelet连接apiserver所需的客户端证书,这个证书由controller-manager组件自动颁发,默认是一年,如果到期,kubelet将无法使用过期证书连接apiserver,从而导致无法正常工作,日志会
k8s删除节点后再重新添加进去(
qq_29860591的博客
12-19 3062
开启本地集群,发现一台节点出问题了,想删除再换一台节点,结果就了,还好本地有好几套环境。 再master节点执行以下命令 [root@k8s-master ~]# kubectl drain k8s-node01 --delete-local-data --force --ignore-daemonsets node/k8s-node01 cordoned WARNING: ign...
更新Kubernetes集群证书
lyyao09的博客
07-27 1092
Kubernetes集群证书的使用寿命为一年。如果Kubernetes集群证书在Kubernetes master节点上过期,则kubelet服务将失败。使用kubectl命令,例如kubectel get pod或kubectl exec -it container_name bash,将导致类似的消息: Unable to connect to the server: x509: certif...
Kubernetes的HTTPS和证书问题,汇总
weixin_34032792的博客
08-18 518
2019独角兽企业重金招聘Python工程师标准>>> ...
K8S 证书过期后,kubeadm 重新生成证书
艾希射日
07-20 1万+
K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/pki 路径下,kubeadm 生成的证书默认有效为 1 年,因此需要定时更新证书,否则证书到期会导致整个集群不可用。 本篇文章主要介绍如何通过 kubeadm 重新生成证书。 一. 检查证书是否过期。 可以通过下面两种方式检查 Kubernetes 的证书是否过期。 1. kubeadm 命令查看 可以通过 kubeadm alpha certs check-expiration 命令查看相关证
----node-name k8s
08-20
在Kubernetes中,使用node name方式可以实现将Pod分配到特定节点上。这种方式是通过在Pod的spec中指定node name来实现的。节点名称是根据集群中节点的主机名或其他唯一标识符来指定的。当Pod的node name与某个节点的名称匹配时,该Pod将被分配到该节点上。这种方式提供了更精确的控制,可以确保Pod只会被调度到指定的节点上。但需要注意的是,使用node name方式需要确保节点名称的唯一性,并且需要手动指定节点名称,不同于node selector和affinity方式由Kubernetes自动进行调度。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Node Selector - K8S](https://blog.csdn.net/weixin_39730801/article/details/112946556)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值