Kubernetes(3) 解决K8S集群证书1年到期问题

最新推荐文章于 2024-04-15 09:05:56 发布
最新推荐文章于 2024-04-15 09:05:56 发布
阅读量1k 收藏 3
点赞数
分类专栏: Kubernetes学习 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/didi_758758/article/details/115354910
版权

解决K8S集群证书1年到期问题

建议先修改证书时间,然后使用编译后的kubeadm进行集群初始化,这样的话证书就会变成100年。
1、下载对应版本源代码(不同的k8s版本下载相对应版本的包)

[root@k8s-master ~]# wget https://github.com/kubernetes/kubernetes/archive/v1.19.3.tar.gz
[root@k8s-master ~]# tar -zxvf kubernetes-1.19.3.tar.gz
[root@k8s-master ~]# cd kubernetes-1.19.3
  1. 修改证书有效期
    查看网上的资料主要有两个地方需要修改
    修改 CA 有效期为 100年(默认为 10年)
[root@k8s-master kubernetes-1.19.3]# vim ./staging/src/k8s.io/client-go/util/cert/cert.go
// 这个方法里面NotAfter:              now.Add(duration365d * 10).UTC()
// 默认有效期就是10年,改成100年
// 输入/NotAfter查找,回车定位
func NewSelfSignedCACert(cfg Config, key crypto.Signer) (*x509.Certificate, error) {
        now := time.Now()
        tmpl := x509.Certificate{
                SerialNumber: new(big.Int).SetInt64(0),
                Subject: pkix.Name{
                        CommonName:   cfg.CommonName,
                        Organization: cfg.Organization,
                },
                NotBefore:             now.UTC(),
                // NotAfter:              now.Add(duration365d * 10).UTC(),
                NotAfter:              now.Add(duration365d * 100).UTC(),
                KeyUsage:              x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature | x509.KeyUsageCertSign,
                BasicConstraintsValid: true,
                IsCA:                  true,
        }

        certDERBytes, err := x509.CreateCertificate(cryptorand.Reader, &tmpl, &tmpl, key.Public(), key)
        if err != nil {
                return nil, err
        }
        return x509.ParseCertificate(certDERBytes)
}

修改证书有效期为 100年(默认为 1年)

[root@k8s-master kubernetes-1.19.3]# vim ./cmd/kubeadm/app/constants/constants.go
// 就是这个常量定义CertificateValidity,改成*100年
const (
        // KubernetesDir is the directory Kubernetes owns for storing various configuration files
        KubernetesDir = "/etc/kubernetes"
        // ManifestsSubDirName defines directory name to store manifests
        ManifestsSubDirName = "manifests"
        // TempDirForKubeadm defines temporary directory for kubeadm
        // should be joined with KubernetesDir.
        TempDirForKubeadm = "tmp"

        // CertificateValidity defines the validity for all the signed certificates generated by kubeadm
        // CertificateValidity = time.Hour * 24 * 365
        CertificateValidity = time.Hour * 24 * 365 * 100

        // CACertAndKeyBaseName defines certificate authority base name
        CACertAndKeyBaseName = "ca"
        // CACertName defines certificate name
        CACertName = "ca.crt"
        // CAKeyName defines certificate name
        CAKeyName = "ca.key"

源代码改好了,接下来就是编译 kubeadm 了。

3、编译
查看kube0cross的TAG版本号(这个地方所显示的版本号就是需要go环境的版本)

[root@k8s-master kubernetes-1.19.3]# cat ./build/build-image/cross/VERSION
v1.15.2-1

这里显示为 v1.15.2-1 需要v1.15.2-1的go环境。

编译kubeadm有两种方式可以编译;
第一种:是使用docker镜像在下好的有go环境的镜像中编译。条件是要不可以文明上网,要不有合适的替换镜像并且版本符合。
第二种:是使用本地环境编译需要自己手动部署go环境。

第一种使用docker镜像进行编译

[root@k8s-master kubernetes-1.19.3]# docker pull k8s.gcr.io/kube-cross:v1.15.2-1
[root@k8s-master kubernetes-1.19.3]# pwd
/root/kubernetes-1.19.3

[root@k8s-master kubernetes-1.19.3]# docker run --rm -v /root/kubernetes-1.19.3:/go/src/k8s.io/kubernetes -it gcrcontainer/kube-cross bash
go# cd /go/src/k8s.io/kubernetes


#编译kubeadm, 这里主要编译kubeadm 即可(其实只要编译kubeadm就行,kubelet和kubectl不用编译也行。)


go# make all WHAT=cmd/kubeadm GOFLAGS=-v

#编译kubelet (可以不用编译)
go# make all WHAT=cmd/kubelet GOFLAGS=-v

#编译kubectl(可以不用编译)
go# make all WHAT=cmd/kubectl GOFLAGS=-v

#退出容器
go# exit


#编译完产物在 _output/bin/kubeadm 目录下,
#其中bin是使用了软连接
#真实路径是_output/local/bin/linux/amd64/kubeadm
mv /usr/bin/kubeadm /usr/bin/kubeadm_backup
cp _output/local/bin/linux/amd64/kubeadm /usr/bin/kubeadm
#chmod +x /usr/bin/kubeadm

# 验证版本
kubeadm version

第二种使用本地进行编译
基础环境软件包准备

[root@k8s-master kubernetes-1.19.3]# yum install gcc make -y
[root@k8s-master kubernetes-1.19.3]# yum install rsync jq -y

查看kube0cross的TAG版本号(这个地方所显示的版本号就是需要go环境的版本)
[root@k8s-master kubernetes-1.19.3]# cat ./build/build-image/cross/VERSION
v1.15.2-1


下载对应版本的go环境包,如果机器下载太慢使用迅雷下载。
[root@k8s-master kubernetes-1.19.3]# cd /root/
[root@k8s-master ~]# wget https://dl.google.com/go/go1.15.2.linux-amd64.tar.gz
[root@k8s-master ~]# tar zxvf go1.15.2.linux-amd64.tar.gz -C /usr/local
# 编辑/etc/profile文件添加如下:
#go setting
[root@k8s-master ~]# vim /etc/profile
export GOROOT=/usr/local/go
export GOPATH=/usr/local/gopath
export PATH=$PATH:$GOROOT/bin

#生效
[root@k8s-master ~]# source /etc/profile


查看go的版本验证go的可用性。
[root@k8s-master ~]# go version
go version go1.15.2 linux/amd64


编译kubeadm
[root@k8s-master ~]# cd kubernetes-1.19.3
# 编译kubeadm, 这里主要编译kubeadm 即可(其实只要编译kubeadm就行,kubelet和kubectl不用编译也行。)
[root@k8s-master kubernetes-1.19.3]# make all WHAT=cmd/kubeadm GOFLAGS=-v

# 编译kubelet (可以不用编译)
[root@k8s-master kubernetes-1.19.3]# make all WHAT=cmd/kubelet GOFLAGS=-v

# 编译kubectl(可以不用编译)
[root@k8s-master kubernetes-1.19.3]# make all WHAT=cmd/kubectl GOFLAGS=-v

#编译完产物在 _output/bin/kubeadm 目录下,
#其中bin是使用了软连接
#真实路径是_output/local/bin/linux/amd64/kubeadm
[root@k8s-master kubernetes-1.19.3]# mv /usr/bin/kubeadm /usr/bin/kubeadm_backup
[root@k8s-master kubernetes-1.19.3]# cp _output/local/bin/linux/amd64/kubeadm /usr/bin/kubeadm
[root@k8s-master kubernetes-1.19.3]# chmod +x /usr/bin/kubeadm

# 验证版本
[root@k8s-master kubernetes-1.19.3]# kubeadm version
kubeadm version: &version.Info{Major:"1", Minor:"19", GitVersion:"v1.19.3", GitCommit:"1e11e4a2108024935ecfcb2912226cedeafd99df", GitTreeState:"archive", BuildDate:"2021-02-19T02:24:12Z", GoVersion:"go1.15.2", Compiler:"gc", Platform:"linux/amd64"}

4、编译完成后更新证书

备份之前的证书

[root@k8s-master ~]# cp -rf /etc/kubernetes/pki{,_bak}

检查证书到期时间

[root@k8s-master ~]# kubeadm alpha certs check-expiration
[check-expiration] Reading configuration from the cluster...
[check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml'
[check-expiration] Error reading configuration from the Cluster. Falling back to default configuration

W0219 10:28:36.098658   15456 configset.go:348] WARNING: kubeadm cannot validate component configs for API groups [kubelet.config.k8s.io kubeproxy.config.k8s.io]
CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
 admin.conf                 Feb 18, 2022 10:08 UTC   364d                                    no
 apiserver                  Feb 18, 2022 10:08 UTC   364d            ca                      no
apiserver-etcd-client      Feb 18, 2022 10:08 UTC   364d            etcd-ca                 no
apiserver-kubelet-client   Feb 18, 2022 10:08 UTC   364d            ca                      no
controller-manager.conf    Feb 18, 2022 10:08 UTC   364d                                    no
etcd-healthcheck-client    Feb 18, 2022 10:08 UTC   364d            etcd-ca                 no
etcd-peer                  Feb 18, 2022 10:08 UTC   364d            etcd-ca                 no
etcd-server                Feb 18, 2022 10:08 UTC   364d            etcd-ca                 no
front-proxy-client         Feb 18, 2022 10:08 UTC   364d            front-proxy-ca          no
scheduler.conf             Feb 18, 2022 10:08 UTC   364d                                    no

CERTIFICATE AUTHORITY   EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
ca                      Feb 16, 2031 09:11 UTC   9y              no
etcd-ca                 Feb 16, 2031 09:11 UTC   9y              no
front-proxy-ca          Feb 16, 2031 09:11 UTC   9y              no

查看帮助,查看都有那些可用参数。

[root@k8s-master ~]# kubeadm alpha certs renew --help
This command is not meant to be run on its own. See list of available subcommands.

Usage:
  kubeadm alpha certs renew [flags]
  kubeadm alpha certs renew [command]

Available Commands:
   admin.conf               Renew the certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself
  all                      Renew all available certificates
  apiserver                Renew the certificate for serving the Kubernetes API
  apiserver-etcd-client    Renew the certificate the apiserver uses to access etcd
  apiserver-kubelet-client Renew the certificate for the API server to connect to kubelet
  controller-manager.conf  Renew the certificate embedded in the kubeconfig file for the controller manager to use
  etcd-healthcheck-client  Renew the certificate for liveness probes to healthcheck etcd
  etcd-peer                Renew the certificate for etcd nodes to communicate with each other
  etcd-server              Renew the certificate for serving etcd
  front-proxy-client       Renew the certificate for the front proxy client
  scheduler.conf           Renew the certificate embedded in the kubeconfig file for the scheduler manager to use

Flags:
  -h, --help   help for renew

Global Flags:
      --add-dir-header           If true, adds the file directory to the header of the log messages
      --log-file string          If non-empty, use this log file
      --log-file-max-size uint   Defines the maximum size a log file can grow to. Unit is megabytes. If the value is 0, the maximum file size is unlimited. (default 1800)
      --rootfs string            [EXPERIMENTAL] The path to the 'real' host root filesystem.
      --skip-headers             If true, avoid header prefixes in the log messages
      --skip-log-headers         If true, avoid headers when opening log files
  -v, --v Level                  number for the log level verbosity

Use "kubeadm alpha certs renew [command] --help" for more information about a command.

续订全部证书

[root@k8s-master ~]# kubeadm alpha certs renew all
[renew] Reading configuration from the cluster...
[renew] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml'
[renew] Error reading configuration from the Cluster. Falling back to default configuration

W0219 10:29:55.337888   16431 configset.go:348] WARNING: kubeadm cannot validate component configs for API groups [kubelet.config.k8s.io kubeproxy.config.k8s.io]
certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself renewed
certificate for serving the Kubernetes API renewed
certificate the apiserver uses to access etcd renewed
certificate for the API server to connect to kubelet renewed
certificate embedded in the kubeconfig file for the controller manager to use renewed
certificate for liveness probes to healthcheck etcd renewed
certificate for etcd nodes to communicate with each other renewed
certificate for serving etcd renewed
certificate for the front proxy client renewed
certificate embedded in the kubeconfig file for the scheduler manager to use renewed

再次查看证书有效期,就比那成了我们之前修改的100年了。

[root@k8s-master ~]# kubeadm alpha certs check-expiration
[check-expiration] Reading configuration from the cluster...
[check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml'
[check-expiration] Error reading configuration from the Cluster. Falling back to default configuration

W0219 10:30:41.959616   16532 configset.go:348] WARNING: kubeadm cannot validate component configs for API groups [kubelet.config.k8s.io kubeproxy.config.k8s.io]
CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
 admin.conf                 Jan 26, 2121 02:29 UTC   99y                                     no
 apiserver                  Jan 26, 2121 02:29 UTC   99y             ca                      no
apiserver-etcd-client      Jan 26, 2121 02:29 UTC   99y             etcd-ca                 no
apiserver-kubelet-client   Jan 26, 2121 02:29 UTC   99y             ca                      no
controller-manager.conf    Jan 26, 2121 02:29 UTC   99y                                     no
etcd-healthcheck-client    Jan 26, 2121 02:29 UTC   99y             etcd-ca                 no
etcd-peer                  Jan 26, 2121 02:29 UTC   99y             etcd-ca                 no
etcd-server                Jan 26, 2121 02:29 UTC   99y             etcd-ca                 no
front-proxy-client         Jan 26, 2121 02:29 UTC   99y             front-proxy-ca          no
scheduler.conf             Jan 26, 2121 02:29 UTC   99y                                     no

CERTIFICATE AUTHORITY   EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
ca                      Feb 16, 2031 09:11 UTC   9y              no
etcd-ca                 Feb 16, 2031 09:11 UTC   9y              no
front-proxy-ca          Feb 16, 2031 09:11 UTC   9y              no
静好~
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s部署--没到8次就学会了
ens160的博客
04-20 1860
机器三个 [root@master1 ~]# cat /etc/hosts 192.168.1.126 master1 192.168.1.127 node1 192.168.1.128 node2 192.168.1.129 node3 223.5.5.5 命名规则和机器严格按照这个步骤。2CPU 2G 内存不然加node的时候会报错 装完之后,静态ip,保证这三个电脑的网卡是一致的名字,网段。否则fannel的时候pod起不来就无法通信。 IPADDR=192.168.1.% //一开始这
Kubeadm安装的K8S集群1证书过期问题解决思路
weixin_30509393的博客
03-07 1795
这个问题,很多使用使用kubeadm的用户都会遇到。 网上也有类似的帖子,从源代码编译这种思路, 在生产环境,有些不现实。 还是使用kubeadm的命令操作,比较自然一点。 当然,自行生成一套证书,也是在新安装集群里,可以考虑的方案。 =============================================== .问题起源 kubeadmku...
K8S-证书过期问题:默认1
only_xiao_的博客
03-28 341
k8s证书过期了
Kubernetes集群证书过期解决办法_kubernetes证书过期,2024最新腾讯T3大佬亲自教你
2401_83739632的博客
04-15 401
etc/kubernetes/pki/etcd/healthcheck-client.crt #1有效期。/etc/kubernetes/pki/etcd/server.crt #1有效期。/etc/kubernetes/pki/etcd/ca.crt #10有效期。/etc/kubernetes/pki/etcd/peer.crt #1有效期。/etc/kubernetes/pki/ca.crt #10有效期。
minikube 部署的集群client证书过期
雪锋的笔记
01-13 1459
minikube 部署的集群client证书过:error execution phase certs/apiserver-kubelet-client: failed to write or validate certificate "apiserver-kubelet-client": failure loading apiserver-kubelet-client certificate: failed to load certificate: the certificate has expired。
k8s kubeadm init 初始化异常
weixin_39128265的博客
05-14 5756
异常信息 W0514 18:12:55.036249 25646 configset.go:202] WARNING: kubeadm cannot validate component configs for API groups [kubelet.config.k8s.io kubeproxy.config.k8s.io] [init] Using Kubernetes version: v1.18.2 [preflight] Running pre-flight checks [WARNING
K8S集群证书监控ssl-exporter监控模板
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
Kubernetes(K8S)集群管理Docker容器(部署篇)
02-25
环境说明:操作系统:Ubuntu16.04orCentOS7Kubernetes版本:v1.8.3Docker版本:v17.09-ce均采用当前最新稳定版本。关闭selinux。打开下面网址,下载下面两个红色框框的包。...
k8s搭建Kubernetesk8s集群用到的部署CNI网络插件
02-21
问题场景:由于k8s安装master一直处于NotReady状态查看日志出现 failed to find plugin “flannel” in path [/opt/cni/bin]【CentOS7.9】(ps:不需要积分) 解决办法:下载CNI插件,在此提供amd和arm,其他可访问链接...
K8s集群证书永久生效文件,用于Kubernetes1.23.0版本
最新发布
05-10
K8s集群证书永久生效文件,用于Kubernetes1.23.0版本
k8s-graph:可视化您的Kubernetesk8s集群
05-01
可视化您的Kubernetes集群 抽象的 该项目包含3个部分,以可视化您的k8s图。 DockerHub上已经提供了Docker容器,因此您可以跳过第1部分和第2部分,而仅创建k8s部署。 节点服务器,它轮询来自k8s api的信息,并使用...
kubernetes集群证书后过期,如何续期
小楼一夜听春雨,深巷明朝卖杏花
02-25 1935
模拟证书过期 由kubeadm部署的集群,所生成的证书证书有效期为一,过期之后集群就不能再次使用了,我们可以对证书进行续期,这样集群就可以继续使用。可以通过如下命令查看具体过期时间: kubeadm alpha certs check-expiration 这里显示证书在20217月5日过期,然后把所有节点的系统时间调整到 202210月1日: 所有节点的时间都要调整。 然后在master(vms71上)执行kubectl命令: [root@vms71 ~]# kubectl
kubelet证书过期处理方案
求知若渴,虚心若愚。
02-16 3443
kubelet证书过期处理方案
更新 k8s 集群的相关证书
foshansuperinter的博客
02-09 1429
1 遇到的问题 这个 PI 有一个性能测试(Performance test, 简称 PT)的任务,尘封了 1 的用于 PT 的 k8s 集群将要大派用场。 但正当负责 PT 的同事磨刀霍霍,准备使用 kubectl 大展身手的时候,出现了以下错误: root@xxxxx[03:47][/home/root]$ kubectl get po Unable to connect to the server: x509: certificate has expired or is not yet valid:
k8s - kubelet启动失败处理记录
longway111的博客
08-04 1768
看看日志吧:journalctl -xu kubelet。google了下,应该是证书过期了。
云原生|kubernetes|kubernetes集群升级+证书更新(Ubuntu-18.04+kubeadm
zsk_john的技术分享专用博客
12-13 5262
一般情况下,不管是kubernetes集群还是什么其它的集群,还是什么tomcat,什么elasticsearch,ssh等等各类软件,当然也包括各个操作系统,比如centos7.Ubuntu,debian等等所有软件类,规避各种各样的安全漏洞基本都是通过升级版本的方式来完成的。 多说一句,在软件制作者的角度来说,升级软件版本的动力一个是安全漏洞的压力,一个是更多的,更 新的功能以及更美观的软件界面。在软件使用者的角度来说,升级软件版本的动力第一个是安全漏洞,其次才是更 新的功能,最后才是美观的软件界
K8S证书过期问题处理方法
wangwu9999的博客
12-06 4325
最近有些客户在使用SuperMap iManager for K8S的过程中遇到服务无法访问,查看K8S的日志 Part of the existing bootstrap client certificate is expired: 2021-06-10 06:29:04 +0000 UT 这是说明k8s使用的证书过期了,k8s自带证书是一的有效期。所以我们解决问题的办法就是更换证书。 以下延长证书过期的方法适合kubernetes1.14、1.15、1.16、1.17、1.18版本 下载所需
kubeadm方式部署的k8s修改证书
奈斯菟咪踢呦
06-14 1526
kubeadm方式部署的k8s修改证书
k8s集群证书集群vip无效怎么处理
05-30
如果 Kubernetes 集群证书对 VIP 无效,可以按照以下步骤进行处理: 1. 检查 Kubernetes API Server 的证书是否正确安装。证书会被安装到 kube-apiserver 的证书目录下。 2. 如果证书已过期或被撤销,需要重新生成新的证书。可以使用 kubeadm 工具重新生成证书,然后重新启动 kube-apiserver。 3. 检查 kubelet 和 kube-proxy 的证书是否正确安装。kubelet 和 kube-proxy 的证书会被安装到 kubelet 和 kube-proxy 的证书目录下。 4. 如果证书的密钥不正确,需要重新生成一个新的密钥并重新安装证书。 5. 检查 Kubernetes 集群的相关配置是否正确。如果配置不正确,需要修改配置以确保 VIP 能够正常工作。 6. 检查 Kubernetes 集群的网络连接是否正常。如果网络连接不正常,需要修复网络连接问题以确保 VIP 能够正常工作。 总之,处理 Kubernetes 集群证书对 VIP 无效的问题需要从多个方面进行考虑和处理,以确保集群的 VIP 能够正常工作。在处理过程中需要注意备份相关的证书和密钥,以防止数据丢失。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值