Rancher证书轮换

最新推荐文章于 2024-05-21 14:39:01 发布
最新推荐文章于 2024-05-21 14:39:01 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: Rancher k8s 证书轮换 文章标签: Rancher k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iceliooo/article/details/111628361
版权
k8s 同时被 3 个专栏收录
10 篇文章 3 订阅
订阅专栏
Rancher
9 篇文章 2 订阅
订阅专栏
证书轮换
1 篇文章 0 订阅
订阅专栏

Rancher证书轮换

如何通过Rancher搭建K8s集群请参考通过Rancher搭建k8s集群,这里继续介绍Rancher如何轮换证书

证书轮换

参考Rancher官网:https://docs.rancher.cn/docs/rancher2/cluster-admin/certificate-rotation/_index/#升级较旧的-rancher-版本后轮换过期的证书

参考Rancher官网:https://docs.rancher.cn/docs/rke/cert-mgmt/_index/

默认情况下,Kubernetes 集群所需要的证书由 Rancher 生成,默认有效期1年,如果出现证书过期,或证书泄露等情况,则需要使用新的证书轮换掉有问题的证书。轮换证书后,Kubernetes 组件将自动重新启动。

1 证书过期无法访问Rancher UI

由于刚安装的k8s集群有效期为1年,不变模拟证书过期场景,这里找了一个本地环境之前安装的k8s集群(Rancher v2.2.4)且已经过期了。

如果集群证书已经过期,那么即使升级到Rancher v2.0.14、v2.1.9以及更高版本也无法轮换证书。rancher 是通过Agent去更新证书,如果证书过期将无法与Agent连接。

在这里插入图片描述

这种情况可以手动进行时钟回拨,因为Agent只与K8S master和Rancher Server通信
如果 Rancher Server 证书未过期,那就只需调整K8S master节点时间

# 关闭时钟同步,否则时间会自动更新
[root@master kubernetes]# timedatectl set-ntp false
[root@master kubernetes]# timedatectl set-time "2020-06-18 11:26:44"
[root@master kubernetes]#

可以正常访问了

在这里插入图片描述

2 证书轮换

轮换 Kubernetes 证书可能会导致集群在重新启动组件时暂时不可用。对于生产环境,建议在维护时段内执行此操作。

2.1 Rancher v2.2.x 中的证书轮换

Rancher 启动的 Kubernetes 集群(RKE 集群)能够通过 UI 轮换自动生成的证书
在这里插入图片描述

可以选择更新单个服务或者更新所有服务(CA证书不变),这里选择更新所有服务。相关服务将重新启动以开始使用新证书。
在这里插入图片描述

查看证书有效期(已经到2030年了)

[root@master ~]# openssl x509 -in /etc/kubernetes/ssl/kube-apiserver.pem -noout -dates
notBefore=Jul 11 07:53:35 2019 GMT
notAfter=Dec  9 06:42:50 2030 GMT
[root@master ~]#

重新进行时钟同步

[root@master ~]# timedatectl set-ntp yes
[root@master ~]# timedatectl
      Local time: 三 2020-12-23 12:04:53 CST
  Universal time: 三 2020-12-23 04:04:53 UTC
        RTC time: 三 2020-12-23 04:04:53
       Time zone: Asia/Shanghai (CST, +0800)
     NTP enabled: yes
NTP synchronized: yes
 RTC in local TZ: no
      DST active: n/a
[root@master ~]#

2.2 更新Rancher Server 证书

貌似更新成功,可以正常访问了,但是过一会儿又会出现无法访问Rancher UI,查看rancher容器日志,还会发现如下error

[root@master ~]# docker ps |grep rancher/rancher:v2.2.4
a50f79e670c4        rancher/rancher:v2.2.4                                                                                                             "entrypoint.sh"          17 months ago       Up 6 months         0.0.0.0:80->80/tcp, 0.0.0.0:443->443/tcp   sleepy_newton
[root@master ~]# docker logs a50f79e670c4
······
[ERROR] ClusterController c-x4x9w [user-controllers-controller] failed with : failed to start user controllers for cluster c-x4x9w: failed to contact server: Get https://192.168.x.X:6443/version?timeout=30s: waiting for cluster agent to connect
······

这里还需要更新Rancher Server 证书

  • 证书未过期

证书未过期时,rancher server 可以正常运行。升级到 Rancher v2.0.14+ 、v2.1.9+、v2.2.2+ 后会自动检查证书有效期,如果发现证书即将过期,将会自动生成新的证书。所以独立容器运行的 Rancher Server,只需在证书过期前把 rancher 版本升级到支持自动更新 ssl 证书的版本即可,无需做其他操作。

  • 证书已过期

如果证书已过期,那么 rancher server 无法正常运行。即使升级到 Rancher v2.0.14+ 、v2.1.9+、v2.2.2+ 也可能会提示证书错误。如果出现这种情况,可通过以下操作进行处理:
1、如果是低版本,先正常升级 rancher 版本到 v2.0.14+ 、v2.1.9+、v2.2.2+;
2、执行以下命令:

  • 2.0 或 2.1 版本
docker exec -ti <rancher_server_容器ID> mv /var/lib/rancher/management-state/certs/bundle.json /var/lib/rancher/management-state/certs/bundle.json-bak
  • 2.2 +
docker exec -ti <rancher_server_容器id> mv /var/lib/rancher/management-state/tls/localhost.crt /var/lib/rancher/management-state/tls/localhost.crt-bak
  • 2.3 +
docker exec -ti <rancher_server_id> mv /var/lib/rancher/k3s/server/tls /var/lib/rancher/k3s/server/tlsbak
# 执行两次,第一次用于申请证书,第二次用于加载证书并启动
docker restart <rancher_server_容器id>

3、重启 Rancher Server 容器

docker restart <rancher_server_容器id>

以2.2.4版本为例

[root@master ~]# docker exec -ti a50f79e670c4  mv /var/lib/rancher/management-state/tls/localhost.crt /var/lib/rancher/management-state/tls/localhost.crt-bak
[root@master ~]# docker restart a50f79e670c4
a50f79e670c4
[root@master ~]#

这下终于可以正常访问Rancher UI了
在这里插入图片描述

iceliooo
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于网络监听的摄像头遮挡检测
a414065310的专栏
12-26 5622
本文由本人原创,仅作为自己的学习记录 最近研究物联网安全,需求之一就是要实现摄像头遮挡的检测,调研了很久,很多都是基于视频帧分析的,这样不仅处理繁琐,而且对不同编码格式的视频处理也不尽相同,结合最近在学习图像处理的东东,脑洞一开,能不能通过监听网络上的视频流,从而还原出视频,再进一步提取关键帧图像,通过对比遮挡前后图像的相似度,进而判断摄像头是否被遮挡呢?下面是我的实现步骤。 有人说摄像头都有...
redis集群部署一直卡在Waiting for the cluster to join ......
热门推荐
樊先知樊先知的博客
09-04 1万+
纯手打,转载请附上本文网址!!! 这里是redis多机多节点集群部署的问题解决! 这个是困扰了我最久的问题,使用cluster meet ip port命令无效,感谢同事大佬的解答帮助我解决了问题。 同时,很少有博客提到redis集群总线的内容,都是叫你关闭防火墙,实际生产中谁会这么做?最后,感慨一句,还是官方文档最有用! 首先需要理清一个概念,就是redis集群总线: redis集群...
12. Rancher Kubernetes 组件-过期 Webhook 证书轮换故障排除
05-21 317
Rancher Kubernetes 组件图。如果你的 Rancher 版本安装了rancher-webhook,某些版本创建的证书将在一年后过期。如果证书未续订,你需要轮换你的 webhook 证书
Linux下使用curl命令访问https问题
jacklin_01的博客
09-10 6931
用curl访问htttps网址报错证书过期或者证书不对 curl https://localhost/web/aaa.php curl: (60) Peer certificate cannot be authenticated with known CA certificates More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate verification by defaul
Linux使用curl访问https站点时报错汇总
kobejayandy的专栏
02-16 3936
每一种客户端在处理https的连接时都会使用不同的证书库。IE浏览器和FireFox浏览器都可以在本浏览器的控制面板中找到证书管理器。在证书管理器中可以自由添加、删除根证书。而Linux的curl使用的证书库在文件“/etc/pki/tls/certs/ca-bundle.crt”中。(CentOS) 以下是curl在访问https站点时常见的报错信息 1.Peer’s Certifica
linux curl https
witto_sdy的专栏
07-12 1475
某日接到一个需求,三方的http接口改成https。好吧,老项目中封装的http工具已经过时了,那么就使用curl库。封装的代码放到资源中(关键字network)如果使用多线程,需要在程序启动阶段即使用network之前,声明全局变量curl_global_init(CURL_GLOBAL_ALL);代码简单,不做介绍,记录几点使用过程遇到的问题。https访问返回403?看着像客户端的问题,ip...
Rancher 轮换证书Rancher 自身证书过期处理
小单的博客专栏
12-08 1983
概述 本文所述 “证书” 分为 “Rancher 自身证书” 和 “Rancher 启动的 Kubernetes 的证书” 两种。 默认情况下,Kubernetes 集群所需要的证书Rancher 生成,如果出现证书过期,或证书泄露等情况,则需要使用新的证书轮换掉有问题的证书轮换证书后,Kubernetes 组件将自动重新启动。 以下服务支持证书轮换: etcd kubelet kube-apiserver kube-proxy kube-scheduler kube-controller-mana
docker部署rancher证书过期问题解决方案
04-24
在Docker环境中部署Rancher时,可能会遇到Rancher证书过期的问题,这将导致Kubernetes集群内部的通信出现异常。以下是一个详尽的解决方案,涵盖了问题的原因、异常现象以及具体的解决步骤。 **问题原因** Rancher在...
k8s部署rancherrancher证书文件
最新发布
07-03
k8s部署rancherrancher证书文件
Rancher-Cert-Manager:Rancher证书管理器的安装
04-08
Rancher证书经理 使用“让我们加密”为Rancher安装Cert Mgr 让我们加密K8s集群发行人的JetStack kubectl适用-f kubectl获取容器--namespace cert-manager 集群发行人 kubectl create -f staging_issuer.yaml ...
rancher搭建和使用
03-14
1、rancher搭建 2、rancher自带的monitor部署 3、longhorn搭建和泗洪 2、应用部署使用,pv使用
保姆级搭建rancher教程
09-06
看着手册能自己搭建出来,保姆级教程,我自己一步一步写的,看完还不会的只能说你不适合运维,咱换行吧。你可以尝试去搞搞开发,开发写写代码就行。
linux可以通过curl命令请求http,https网络请求
mengtianqq的博客
02-15 1145
linux可以通过curl命令请求http,https网络请求
Linux安装curl,无需手动安装OpenSSL也可使curl支持https协议
i_husky的博客
04-07 2362
Linux安装curl,无需手动安装OpenSSL也可使curl支持https协议!
Linux下交叉编译curl静态库支持https及使用总结
$好记性还是要多记录$
06-03 8271
如何避免libcurl的https多线程问题: (1)在post或get封装(就是从libcurl请求到收到回复整个过程的封装)里加一把大锁,锁住与libcurl相关的所有https请求 (2)使用的libcurl支持ssl用到的openssl的版本必须在1.1.x或以上(已经解决线程安全问题) (3)如果编译的openssl版本在1.0.x以下,网络上还有一种处理方式就是设置一个回调,具体...
windows/linux下编译支持https的curl
dragoo1的专栏
11-09 889
windows下使用vs2010编译支持https的curl
Linux用命令发起http/https请求
cn_lyg的博客
02-19 4512
当我们开发一个restful接口的时候,我们一般会用工具 简单测试https的post请求(设置请求头) curl -l -k -H "请求头参数内容" -X POST -d 'post请求数据对象的json字符串' 请求url地址 curl -l -k -H "Content-type:application/json;charset:UTF-8; Accept:app...
linux命令 curl忽略https证书
Mr_wilson_liu的博客
03-27 1486
curl -k https://www.baidu.com
Linux命令--curl(发起请求)
IT利刃出鞘的博客
04-27 1352
其他网址 windows系统安装curl_运维_赵天铭的博客-CSDN博客 下载安装 1.下载 https://curl.haxx.se/windows/https://curl.haxx.se/download.htmlhttps://curl.haxx.se/download/?C=M;O=D (这是源码) 2. 解压 3.修改系统环境变量 新建环境变量(系统变量)=&g...
rancher 证书
10-14
您好,关于 Rancher 证书,您需要具体说明您想要了解的是哪方面的证书,以下是 Rancher 中常见的几种证书: 1. Rancher Server 证书Rancher Server 会自动生成一个默认的 SSL 证书,用于保护 Rancher Server 的 Web 界面。如果您需要使用自己的证书,可以在 Rancher Server 启动时通过参数 `--tls-cert` 和 `--tls-private-key` 指定证书和私钥文件。 2. Rancher Agent 证书Rancher Agent 会自动生成一个默认的 SSL 证书,用于与 Rancher Server 进行通信。如果您需要使用自己的证书,可以在创建主机时通过参数 `--engine-insecure-registry` 指定证书文件。 3. Kubernetes 证书:如果您使用 Rancher 部署 Kubernetes 集群,那么 Kubernetes 集群中也会涉及到一些证书,例如 etcd 证书、kube-apiserver 证书等。这些证书的生成和管理方式与普通 Kubernetes 集群相同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值