通过编译kubeadm修改证书有效期

最新推荐文章于 2024-03-18 17:05:35 发布
最新推荐文章于 2024-03-18 17:05:35 发布
阅读量3.8k 收藏 3
点赞数
分类专栏: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fuck487/article/details/102759523
版权

参考:https://www.cnblogs.com/netonline/archive/2019/07/18/11207765.html

参考:https://www.cnblogs.com/skymyyang/p/11093686.html

centos 7.1

kubernetes 1.16.0

一、下载kubernetes v1.16.3源码,修改关键部分代码的证书生产有效期

github下载源码:https://github.com/kubernetes/kubernetes

到release下载想到的版本源码,这里我下载v1.16.3

解压并修改源代码

tar -xzvf v1.16.2.tar.gz

查看网上的资料主要有两个地方需要修改

vim ./staging/src/k8s.io/client-go/util/cert/cert.go
# 这个方法里面NotAfter:              now.Add(duration365d * 10).UTC()
# 默认有效期就是10年,改成100年
func NewSelfSignedCACert(cfg Config, key crypto.Signer) (*x509.Certificate, error) {
        now := time.Now()
        tmpl := x509.Certificate{
                SerialNumber: new(big.Int).SetInt64(0),
                Subject: pkix.Name{
                        CommonName:   cfg.CommonName,
                        Organization: cfg.Organization,
                },
                NotBefore:             now.UTC(),
                // NotAfter:              now.Add(duration365d * 10).UTC(),
                NotAfter:              now.Add(duration365d * 100).UTC(),
                KeyUsage:              x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature | x509.KeyUsageCertSign,
                BasicConstraintsValid: true,
                IsCA:                  true,
        }

        certDERBytes, err := x509.CreateCertificate(cryptorand.Reader, &tmpl, &tmpl, key.Public(), key)
        if err != nil {
                return nil, err
        }
        return x509.ParseCertificate(certDERBytes)
}

 

vim ./cmd/kubeadm/app/util/pkiutil/pki_helpers.go
# 这个方法里面看到NotAfter:     time.Now().Add(kubeadmconstants.CertificateValidity).UTC()
# 参数里面是一个常量kubeadmconstants.CertificateValidity
# 所以这里可以不修改,我去看看源码能不能找到这个常量的赋值位置
func NewSignedCert(cfg *certutil.Config, key crypto.Signer, caCert *x509.Certificate, caKey crypto.Signer) (*x509.Certificate, error) {        serial, err := cryptorand.Int(cryptorand.Reader, new(big.Int).SetInt64(math.MaxInt64))
        if err != nil {
                return nil, err
        }       
        if len(cfg.CommonName) == 0 {
                return nil, errors.New("must specify a CommonName")
        }       
        if len(cfg.Usages) == 0 {
                return nil, errors.New("must specify at least one ExtKeyUsage")
        }       
        
        certTmpl := x509.Certificate{
                Subject: pkix.Name{
                        CommonName:   cfg.CommonName,
                        Organization: cfg.Organization,
                },      
                DNSNames:     cfg.AltNames.DNSNames,
                IPAddresses:  cfg.AltNames.IPs,
                SerialNumber: serial,
                NotBefore:    caCert.NotBefore,
                NotAfter:     time.Now().Add(kubeadmconstants.CertificateValidity).UTC(),
                KeyUsage:     x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature,
                ExtKeyUsage:  cfg.Usages,
        }       
        certDERBytes, err := x509.CreateCertificate(cryptorand.Reader, &certTmpl, caCert, key.Public(), caKey)
        if err != nil {
                return nil, err
        }       
        return x509.ParseCertificate(certDERBytes)
}

结果在这里找到kubeadmconstants.CertificateValidity的定义

vim ./cmd/kubeadm/app/constants/constants.go
// 就是这个常量定义CertificateValidity,我改成*100年
const (
        // KubernetesDir is the directory Kubernetes owns for storing various configuration files
        KubernetesDir = "/etc/kubernetes"
        // ManifestsSubDirName defines directory name to store manifests
        ManifestsSubDirName = "manifests"
        // TempDirForKubeadm defines temporary directory for kubeadm
        // should be joined with KubernetesDir.
        TempDirForKubeadm = "tmp"

        // CertificateValidity defines the validity for all the signed certificates generated by kubeadm
        // CertificateValidity = time.Hour * 24 * 365
        CertificateValidity = time.Hour * 24 * 365 * 100

        // CACertAndKeyBaseName defines certificate authority base name
        CACertAndKeyBaseName = "ca"
        // CACertName defines certificate name
        CACertName = "ca.crt"
        // CAKeyName defines certificate name
        CAKeyName = "ca.key"

源代码改好了,接下来就是编译kubeadm了

二、编译kubeadm

刚开始尝试服务器安装go环境,执行make方法编译,结果各种报错。只能尝试下载容器,在容器里面编译,通过网上找资料,发现官网原来有提供一个k8s.gcr.io/kube-cross的容器用于对代码做编译。

由于我不能翻墙,如果不能翻墙的用户,到https://hub.docker.com搜索 kube-cross关键字,我找了一个版本比较新的mirrorgooglecontainers/kube-cross:v1.12.10-1镜像,v1.12.10-1应该就是镜像里面go环境的版本。

 

注:在使用mirrorgooglecontainers/kube-cross:v1.12.10-1编译之前,我试过下载一个go版本是v.1.11.x的镜像,编译会报错,大概意思是我下载的kubernetes源码必须用v1.12.x才能编译。

拉取镜像

docker pull mirrorgooglecontainers/kube-cross:v1.12.10-1

# 运行容器,并进入到容器内部
docker run --rm -it -v 你修改源码后的kubernetes根目录:/go/src/k8s.io/kubernetes \
mirrorgooglecontainers/kube-cross:v1.12.10-1 bash


# cd到容器内部的挂载路径,可以ls -al查看一下里面的文件是不是主机挂载目录的源码文件
cd /go/src/k8s.io/kubernetes

# 编译kubeadm, 这里主要编译kubeadm 即可
make all WHAT=cmd/kubeadm GOFLAGS=-v

# 编译kubelet
# make all WHAT=cmd/kubelet GOFLAGS=-v

# 编译kubectl
# make all WHAT=cmd/kubectl GOFLAGS=-v

#编译完产物在 _output/bin/kubeadm 目录下,
#其中bin是使用了软连接
#真实路径是_output/local/bin/linux/amd64/kubeadm

编译成功后,可以退出容器,能看到挂载路径中已经有编译好的kubeadm

路径./_output/local/bin/linux/amd64/kubeadm

 

补充:

后面我尝试编译kubernetes-1.17.1 需要go 1.13.4版本

本文中的docker镜像不合用,使用这个

docker pull gcrcontainer/kube-cross:v1.13.5-1

运行+编译

# 运行容器,并进入到容器内部
docker run --rm -it -v 你修改源码后的kubernetes根目录:/go/src/k8s.io/kubernetes gcrcontainer/kube-cross:v1.13.5-1 bash


# cd到容器内部的挂载路径,可以ls -al查看一下里面的文件是不是主机挂载目录的源码文件
cd /go/src/k8s.io/kubernetes

# 编译kubeadm, 这里主要编译kubeadm 即可
make all WHAT=cmd/kubeadm GOFLAGS=-v

# 编译kubelet
# make all WHAT=cmd/kubelet GOFLAGS=-v

# 编译kubectl
# make all WHAT=cmd/kubectl GOFLAGS=-v

#编译完产物在 _output/bin/kubeadm 目录下,
#其中bin是使用了软连接
#真实路径是_output/local/bin/linux/amd64/kubeadm

三、替换掉正在使用的kubeadm

# 将kubeadm 文件拷贝替换系统中原有kubeadm
cp /usr/bin/kubeadm /usr/bin/kubeadm.bak
cp _output/local/bin/linux/amd64/kubeadm /usr/bin/kubeadm

 

四、执行命令更新证书

可以先备份证书,证书在/etc/kubernetes/pki,我这里就不备份了

1、检查证书到期时间

kubeadm alpha certs check-expiration

 

2、续订证书,查看可以使用的参数

kubeadm alpha certs renew --help


Available Commands:
  admin.conf               Renew the certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself
  all                      Renew all available certificates
  apiserver                Renew the certificate for serving the Kubernetes API
  apiserver-etcd-client    Renew the certificate the apiserver uses to access etcd
  apiserver-kubelet-client Renew the certificate for the API server to connect to kubelet
  controller-manager.conf  Renew the certificate embedded in the kubeconfig file for the controller manager to use
  etcd-healthcheck-client  Renew the certificate for liveness probes to healthcheck etcd
  etcd-peer                Renew the certificate for etcd nodes to communicate with each other
  etcd-server              Renew the certificate for serving etcd
  front-proxy-client       Renew the certificate for the front proxy client
  scheduler.conf           Renew the certificate embedded in the kubeconfig file for the scheduler manager to use

续订全部证书

kubeadm alpha certs renew all

再次查看证书有效期,全部都100年了

kubeadm alpha certs check-expiration


CERTIFICATE                EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
admin.conf                 Oct 02, 2119 08:31 UTC   99y             no      
apiserver                  Oct 02, 2119 08:25 UTC   99y             no      
apiserver-etcd-client      Oct 02, 2119 08:25 UTC   99y             no      
apiserver-kubelet-client   Oct 02, 2119 08:25 UTC   99y             no      
controller-manager.conf    Oct 02, 2119 08:25 UTC   99y             no      
etcd-healthcheck-client    Oct 02, 2119 08:25 UTC   99y             no      
etcd-peer                  Oct 02, 2119 08:25 UTC   99y             no      
etcd-server                Oct 02, 2119 08:25 UTC   99y             no      
front-proxy-client         Oct 02, 2119 08:25 UTC   99y             no      
scheduler.conf             Oct 02, 2119 08:25 UTC   99y             no

 

不屑哥
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
k8s 1.23.17版本kubeadm 100年CA有效期
09-20
使用yum -y install kubelet-1.23.17 kubeadm-1.23.17 kubectl-1.23.17安装完成后 初始化之前,用自编译 kubeadm替换官方的kubeadm:`/usr/bin/kubeadm`,可将证书过期时间改为 `100` 年,基于` 1.23.17` 版本的 kubernetes
k8s 证书过期解决
jiangbenchu的博客
11-16 9142
K8S CA证书是10年,但是组件证书的日期只有1年,为了证书一直可用状态需要更新,目前主流的一共有3种: 1、版本升级,只要升级就会让各个证书延期1年,官方设置1年有效期的目的就是希望用户在一年内能升级1次,详见:k8s升级 2、通过命令续期 (这种只能延长一年) 3、编译源码Kubeadm,设置10年 一、查看证书过期时间 vim test.sh for item in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`; do openssl x5
K8S(kubeadm版)更新证书
最新发布
ArrogantB的博客
03-18 835
k8s证书过期更换,kubeadm方式更换证书
kubernetes证书时间修改
liuchao666888的博客
09-29 1413
此文档针对k8s版本1.14.1 kubeadm 默认证书为一年,一年过期后,会导致api service不可用,使用过程中会出现:x509: certificate has expired or is not yet valid. 方案一 通过修改kubeadm 调整证书过期时间 1、创建工作目录 [root@master ~]# mkdir /data 2、下载go环境(搜索go 中文网既可下载) [root@master ~]# cd /data [root@master data]# wge
kubernetes源码编译
期待幸福
05-15 929
本地构建 选择要构建的版本 git checkout tags/v1.19.5 将依赖包复制到对应路径下 cp staging/src/k8s.io vendor/ 调整makefile 在windows上编译的克隆下可能文件编码变了,需要手动修改下文件编码。比如说出现 \r not found 类似关键词时 这里转换编码使用了 dos2unix,需要提前安装下 apt install dos2unix 转换原因是因为对于bash 脚本执行识别不了windows的换行 find . -name '*.
Kubeadm修改证书时间
漠效的博客
03-11 1405
前言 目前关于k8s的部署有着各种各样工具,其中不得不提到Kubeadm。虽然其因证书问题一直被人们所诟病,但它也是部署k8s最常用的工具。 我们都知道使用kubeadm部署k8s在证书方面存在一个问题。证书有效期为一年,到期前必须续期。因此使用kubeadm部署的集群,在 ...
k8s-linux环境源码编译修改证书时间
qq_16481385的博客
03-22 327
k8s源码编译 #### 构建命令 1. 拉取源码 git clone https://github.com/kubernetes/kubernetes.git 此处如果下载慢,可以在码云上面添加链接,从码云上面下载代码 gitclonehttps://gitee.com/sguap/kubernetes.git 2. 切换到指定版本,以V1.9...
k8s v1.14.1,1.20.8版本kubeadm编译,解决k8s证书一年有效期问题
u014486518的博客
01-30 693
编译kubeadm,初始化k8s集群,解决证书一年有效期问题
云原生|kubernetes|kubeadm部署的集群的100年证书
zsk_john的技术分享专用博客
12-06 976
测试编程出来的kubeadm 初始化集群,集群的证书是否变为了100年 将以上生成的kubeadm文件拷贝到一个新的服务器上,随便怎么拷贝吧,scp也好,直接lsrzs也可以
kubeadm方式部署的k8s修改证书年限
奈斯菟咪踢呦
06-14 1506
kubeadm方式部署的k8s修改证书年限
Kubernetes kubeadm 证书到期,更新证书
大漠知秋的加油站
08-27 8022
Kubernetes kubeadm 证书到期,更新证书 版本 服务 版本 CentOS 7.8 Kubernetes 1.18.x 证书问题   可能很多人在一开始学习 k8s 的时候,没有注意过证书的问题,在使用 kubeadm 安装 k8s 单机/集群的过程中就是一路往下,如果是学习或者测试使用,使用完毕之后就把虚拟机或者临时云服务器删除了,那也不会发现证书问题。如果这个 k8s 环境要使用 1 年以上,就会碰到这个问题,因为默认证书有效期为 1 年,CA 根证书是 10 年:
c++常量字符串编译期加密
08-17
源实现参考网络资源;基于源实现解决了其重入问题。 语言环境:c++14 测试环境:在VS2019、ubuntu(wsl) g++(理论上支持c++14的都可以)
kubeadm二进制编译go环境一键安装脚本
09-29
1. 快速通过脚本在Centos7.9系统上进行安装go语言编译环境 2. 通过脚本进行执行后、可配合博客进行kubeadm默认证书时间修改
ADNROID 反编译工具和证书
06-25
ADNROID 反编译工具和证书 使用详见:http://blog.csdn.net/allinone2/article/details/34430117
自定义编译期注解
06-20
自定义编译期注解,可以给字段添加注解,实现跳转传值的目的。
K8S 证书过期后,kubeadm 重新生成证书
热门推荐
艾希射日
07-20 1万+
K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/pki 路径下,kubeadm 生成的证书默认有效为 1 年,因此需要定时更新证书,否则证书到期会导致整个集群不可用。 本篇文章主要介绍如何通过 kubeadm 重新生成证书。 一. 检查证书是否过期。 可以通过下面两种方式检查 Kubernetes 的证书是否过期。 1. kubeadm 命令查看 可以通过 kubeadm alpha certs check-expiration 命令查看相关证
修改kubeadm证书过期时间
github_35614077的博客
11-22 2943
kubernetes集群三步安装 修改kubeadm证书过期时间 本文通过修改kubeadm源码让kubeadm默认的一年证书过期时间修改为99年 我已经编译好了一个放在了github上,有需要的可以直接下 代码编译 编译环境镜像我已经放到dockerhub上了:fanux/kubernetes-build:v1.0.0 首先clone k8s 代码: git clone https://gi...
重新编译kubeadm修改默认证书时间
weixin_30611509的博客
07-18 813
参考 kubeadm alpha certs renew Kubeadm1.14 证书调整 kubeadm 部署的 kubernetes 集群,默认的证书有效时间是1年,需要每年手工更新。 1. 重新编译kubeadm 1.1 准备 # 下载对应的kubernetes源代码,这里采用 "v1.14.1" 版本 wget https://codeload.github.com/kubernete...
编译期多态和运行期多态
07-28
编译期多态和运行期多态是面向对象编程中的两种不同的多态性概念。 编译期多态(也称为静态多态)是指在编译时根据变量的声明类型来确定使用哪个方法或函数。这种多态性通过函数重载和模板实现。在编译期多态中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值