K8s 集群(kubeadm) CA 证书过期解决方案

最新推荐文章于 2024-10-16 08:26:24 发布
最新推荐文章于 2024-10-16 08:26:24 发布
阅读量2.1k 收藏 28
点赞数 22
分类专栏: 云原生 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/it_zrs/article/details/140191159
版权

k8s-adm

Author:Arsen
Date:2024/07/04

目录

一、现象描述

之前有篇文章《K8s Token 过期解决方案(Kubeadm)》提到了默认生成的 Token 有效期只有 24 小时,过期后 Token 将不可用,如果想新的 Node 节点加入 K8s 集群,则需重新生成新的 Token。

今天无意间打开我虚拟机部署的 K8s 集群(通过 kubeadm 方式部署),发现 CA 证书过期了(如下图):

kubectl get pods

image-20240704153715854

于是查看我的 K8s 集群证书,显示证书都过期了(如下图):

# 查看证书过期时间 => k8s1.15+版本的查看方法
kubeadm certs check-expiration

image-20240704142609767

字段说明:

字段解释
CERTIFICATE证书的名称
EXPIRES证书过期的时间点
RESIDUAL TIME当前时间距离证书过期的剩余时间
CERTIFICATE AUTHORITY证书的颁发机构
EXTERNALLY MANAGED证书是否由外部系统管理

证书字段详解:

CERTIFICATEEXPIRESRESIDUAL TIMECERTIFICATE AUTHORITYEXTERNALLY MANAGED备注
admin.confDec 12, 2023 03:36 UTCcanoKubeconfig 文件,包含集群访问的配置
apiserverDec 12, 2023 03:36 UTCcanoKubernetes API 服务器的证书
apiserver-etcd-clientDec 12, 2023 03:36 UTCetcd-canoAPI 服务器与 ETCD 之间的客户端证书
apiserver-kubelet-clientDec 12, 2023 03:36 UTCcanoAPI 服务器与 Kubelet 之间的客户端证书
controller-manager.confDec 12, 2023 03:36 UTCcanoKubernetes 控制器管理器的 Kubeconfig 文件
etcd-healthcheck-clientDec 12, 2023 03:36 UTCetcd-cano用于 ETCD 健康检查的客户端证书
etcd-peerDec 12, 2023 03:36 UTCetcd-canoETCD 节点间的对等通信证书
etcd-serverDec 12, 2023 03:36 UTCetcd-canoETCD 服务器的证书
front-proxy-clientDec 12, 2023 03:36 UTCfront-proxy-cano前端代理的客户端证书
scheduler.confDec 12, 2023 03:36 UTCcanoKubernetes 调度器的 Kubeconfig 文件

显然,上表中的这些证书在 2023 年 12 月 12 日 03:36 UTC 就已经过期,且剩余时间为<invalid>,表示这些证书已过期(无效),需要重新生成。

证书颁发机构字段解释:

CERTIFICATE AUTHORITYEXPIRESRESIDUAL TIMEEXTERNALLY MANAGED备注
caDec 09, 2032 03:36 UTC8年noKubernetes 的主证书颁发机构
etcd-caDec 09, 2032 03:36 UTC8年noETCD 的证书颁发机构
front-proxy-caDec 09, 2032 03:36 UTC8年no前端代理的证书颁发机构

二、解决方案

1、对过期证书进行备份,并删除旧的证书

# 备份证书
cp -rp /etc/kubernetes /etc/kubernetes.bak

# 删除旧的证书(使用新版本的新命令生成证书时可以忽略这一步,即可以不用删除)
# rm -f /etc/kubernetes/pki/apiserver*
# rm -f /etc/kubernetes/pki/front-proxy-client.*
# rm -rf /etc/kubernetes/pki/etcd/healthcheck-client.*
# rm -rf /etc/kubernetes/pki/etcd/server.*
# rm -rf /etc/kubernetes/pki/etcd/peer.*

2、重新生成证书

# 新版本(1.15+) - - 使用该命令不用提前删除过期证书
kubeadm certs renew all

# 老版本
# kubeadm alpha certs renew all

image-20240704144738457

3、备份旧的配置文件,并重新生成新的配置文件

mv /etc/kubernetes/*.conf /tmp/

# 新版本(1.15+)
kubeadm init phase kubeconfig all

# 老版本
# kubeadm alpha phase kubeconfig all

image-20240704144929550

4、更新 kubectl 配置

# 备份配置文件
cp -rp ~/.kube/config ~/.kube/config.bak

# 更新配置文件
\cp /etc/kubernetes/admin.conf ~/.kube/config

# 修改权限
chown $(id -u):$(id -g) $HOME/.kube/config

5、证书过期时间确认

# 新版本(1.15+)查看方法
kubeadm certs check-expiration

# 单独查看(其他同理)
openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep 'Not'

# 老版本查看方法
# kubeadm alpha certs check-expiration

image-20240704155002524

CA 证书时间已经更新,

6、重启 kubelet

所有 work 节点执行,如果你的 master 节点也作为 work 节点使用,那 master 节点也需要执行重启 kubelet 的操作。

systemctl restart kubelet
systemctl status kubelet

7、查看集群节点状态

image-20240704213044612

发现 work 节点不健康,这个时候我们需要重新将work 节点加入 k8s 集群

1)先查看集群中是否有 Token

kubeadm token list

image-20240704213334228

2)没有则重新生成 Token

# 生成默认 24 小时 Token(推荐)
kubeadm token create

# 生成永久有效 Token
# kubeadm token create --ttl 0

image-20240704213514382

3)获取 CA 证书 Hash 值

openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2>/dev/null | openssl dgst -sha256 -hex | sed 's/^.* //'

image-20240704213606235

4)最后就是 work 节点加入 K8s 集群

以 work1 节点为例,work2 节点及其他 work 节点同理。

# 填入上图生成的 token、hash 值,并加入集群。
kubeadm join 192.168.56.160:6443 --token zlj5j5.3ezp1s8drj3jgept --discovery-token-ca-cert-hash sha256:3ed701329742f7549f73cb065a8677abe8b5b8a3e25bbca7bb26f317ffcf89d4

执行后报错:

image-20240704214147260

报错原因:这些文件为旧文件(过期的文件),我们备份后清理即可

# 备份
cp -a /etc/kubernetes/kubelet.conf /tmp/kubelet.conf.back
cp -a /etc/kubernetes/pki/ca.crt /tmp/ca.crt.back

# 清理
rm -f /etc/kubernetes/kubelet.conf
rm -f /etc/kubernetes/pki/ca.crt

清理完成后,再次将 work 节点加入集群:

kubeadm join 192.168.56.160:6443 --token zlj5j5.3ezp1s8drj3jgept --discovery-token-ca-cert-hash sha256:3ed701329742f7549f73cb065a8677abe8b5b8a3e25bbca7bb26f317ffcf89d4

image-20240704214527787

8、查看 k8s 集群节点健康状态

kubectl get nodes

image-20240704214840263

9、最后再验证以下证书过期时间

kubeadm certs check-expiration

image-20240704215014780

无误后,K8s 集群的 CA 证书更新完毕,此时打一个快照(因为我是虚拟机),方便后续实验所用。

三、集群验证

K8s 集群证书过期时间更新完毕后,且集群节点也是健康的状态,那接下来我们跑一个测试服务验证一下集群是否可用。

kubectl create deployment nginx --image=nginx   # 创建单副本作为测试即可
kubectl expose deployment nginx --port=80 --type=NodePort
kubectl get pod,svc

image-20240704215819509

image-20240704215754156

浏览器访问验证:http://192.168.56.160:31122/

image-20240704215918255

再看看 pod 所在 work 节点:调度也是没问题的。

image-20240704220030579

至此,K8s 集群验证完毕!

—END

k8s 证书过期【完美解决】:x509_ certificate has expired or is not yet valid
甘蓝的专栏
04-08 895
【完美解决】k8s证书在安装1年后过期,导致k8s集群不可用的问题!
云原生运维实战 | 快速解决高可用K8s集群证书到期问题
WeiyiGeek 唯一极客IT知识分享
06-29 928
移除并等待 20 秒(参考 KubeletConfiguration 结构 中的fileCheckFrequency 值), 等待pod终止后再将配置清单移会原始目录,然后kubelet将会重建这些Pod。由于作者水平有限,本章错漏缺点在所难免,希望读者批评指正,若有问题或建议请在文章末尾留下您宝贵的经验知识,或联系邮箱地址。Step 8.若kuebelt证书未更新,我们需要在集群证书签名请求CSR中进行批准。原文地址: https://blog.weiyigeek.top/
查看k8s证书过期时间:各组件
学亮编程手记
02-22 5000
[root@k8s-n0 kuboard-install]# kubeadm alpha certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml' [check-expi
k8s证书过期处理
qq_35573061的博客
09-14 1835
证书一共分为根CAca.crt)master各组件的证书(包括etcd、apiserver、front-proxy、controller-manager等各种)kubelet证书其中,根CA和master各组件证书默认已经改成了100年,kubelet证书改成了10年且有自动轮换在一些用老包部署的环境里,可能出现证书过期问题,需要按如下操作解决证书问题。
kubeadm搭建的k8s集群证书过期处理
当世事再没完美,可远在岁月如歌中找你
03-24 1578
k8s 证书过期处理 注:kubeadm部署,k8s版本 1.18 [root@master ~]# kubeadm version kubeadm version: &version.Info{Major:"1", Minor:"20", GitVersion:"v1.20.0", GitCommit:"af46c47ce925f4c4ad5cc8d1fca46c7b77d13b38", GitTreeState:"clean", BuildDate:"2020-12-08T17:57:36Z"
kubeadm证书过期更新
V_zhangyang的博客
04-16 386
执行时请使用 ./update-kubeadm-cert.sh all 或者 bash update-kubeadm-cert.sh all ,不要使用 sh update-kubeadm-cert.sh all,因为某些 Linux 发行版 sh 并不是链接到 bash,可能会不兼容。该脚本只处理 master 节点上的证书,node 节点的 kubelet 证书默认自动轮换更新,无需关心过期问题,只需关心 master 节点上的证书即可。#ca证书有效期10年,apiserver证书有效期1年。
云原生Kubernetes----证书过期处理办法
hy199707的博客
06-19 2422
随着云计算技术的飞速发展,Kubernetes已成为企业构建、扩展和管理容器化应用程序的首选平台。然而,随着集群的持续运行,在企业中经常会遇到一个问题——Kubernetes集群证书过期。这个问题不仅影响集群的稳定性,还可能带来安全风险。本文将深入探讨Kubernetes证书过期的问题、影响以及解决方案
k8s集群证书过期,一键更新
蛋疼的NICK
06-13 469
k8s集群证书过期,一键更新
k8s 证书过期解决
jiangbenchu的博客
11-16 9681
K8S CA证书是10年,但是组件证书的日期只有1年,为了证书一直可用状态需要更新,目前主流的一共有3种: 1、版本升级,只要升级就会让各个证书延期1年,官方设置1年有效期的目的就是希望用户在一年内能升级1次,详见:k8s升级 2、通过命令续期 (这种只能延长一年) 3、编译源码Kubeadm,设置10年 一、查看证书过期时间 vim test.sh for item in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`; do openssl x5
K8S 证书过期解决办法
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
12-29 836
问题现象K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问。执行命令发现报错:查看K8S的日志:这是说明k8s使用的证书过期了,k8s自带证书是一年的有效期。所以我们解决问题的办法就是更换证书
kubeadm初始化k8s证书过期解决方案
05-23
### kubeadm初始化k8s证书过期解决方案 #### 概述 Kubernetes(简称k8s)作为当前主流的容器编排工具之一,在实际部署过程中常常采用kubeadm进行快速部署与管理。然而,在长期运行的过程中,kubeadm初始化时生成的...
如何搭建K8S集群
zhoutao0819的博客
06-24 1909
准备3台机器,要求网络互通(云服务器私网互通,虚拟机网络互通),同时可联网,因为要拉取镜像。关闭防火墙、selinux、swap分区等,这些是可能会导致k8s集群出问题的地方,需要提前配置好。安装Docker容器化环境,同时安装三个核心组件:kubeadmkubelet、kubectl。下载k8s所需镜像,创建一个Master节点,将Node节点加入到当前集群。在k8s集群安装相关服务进行验证,登录k8s的WEB的用户界面dashboard。
kubeadm集群token过期:节点增删解决方案
"kubeadm 生成的 Kubernetes 集群token过期后,如何处理节点的添加与移除——一份详细的操作指南" 在 Kubernetes 集群中,`kubeadm` 是一个用于初始化和管理集群的工具,它在设置新节点加入时会生成安全的认证令牌...
Kubernetes 系列之 kubeadm 搭建k8s集群
csdn_welearn的博客
09-21 1470
Kubeadm 搭建k8s集群 注意:Kubernetes 系列 所采用的kuberntetes版本都是 1.15+ 1 Master 节点安装 1.1 系统环境配置 1.1.1 设置主机名称 hostnamectl set-hostname kmaster-01 hostnamectl set-hostname knode-01 hostnamectl set-hostname knode-...
一个k8s集群——跨云服务器部署
qq_43285879的博客
10-16 3627
穷学生只买得起云厂商新人优惠服务器,想玩分布式只能搭建跨云集群,无奈不是一个云厂商不在同一vpc网络下,有很多坑特此记录一下 两台服务器,一台青云4c8g,一台腾讯云2c4g 1、安装Docker sudo yum remove docker* sudo yum install -y yum-utils #配置docker的yum地址 sudo yum-config-manager \ --add-repo \ http://mirrors.aliyun.com/docker-ce/linux/c
k8s containerd集群配置安装完整踩坑教程
神棍之路
08-24 6155
完整踩坑和精简内容。
Kubernetes集群证书过期解决办法
GGB_GG的博客
02-20 2283
K8S过期之前,使用kubeadm alpha phase里的certs和kubeconfig命令,同时配合kubelet证书自动轮换机制来解决这个问题(具体操作可以百度搜索),这里介绍证书已经过期的解决方法,以下延长证书过期的方法适合kubernetes1.14、1.15、1.16、1.17、1.18版本。并不会更新 kubelet 证书kubelet.conf 文件里面写的客户端证书),因为 kubelet 证书是默认开启自动轮回更新的,但是在执行。,没有自动更新 slave 节点。
kubeadm部署的k8s证书过期解决
最新发布
happy_king_zi的博客
10-16 762
https://hub.docker.com/r/wzshiming/kube-cross/tags 在dockerhub 下载相应的版本。因为nginx的镜像中没有wget、telnet、curl等环境验证命令,从宿主机copy一个telnet命令来验证nginx服务。将新生成的 admin.conf 文件拷贝,替换 ~/.kube 目录下的 config 文件。#用源码包里的kubeadm覆盖掉以前的。使用for循环进行查看。编译后的文件所在路径。//此文件修改如下内容。//此文件修改如下内容。
K8S 证书到期解决方法
weixin_44772835的博客
03-18 399
前戏登录测试环境查看 pod 时保持如下内容Unable to connect to the server: x509: certificate has expired or is not yet valid: current time 2023-03-16T23:18:09+08:00 is after 2023-02-...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云计算-Security

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值