解决kubernetes集群证书过期的问题

已于 2023-11-17 17:34:48 修改
阅读量331 收藏
点赞数
文章标签: kubernetes
于 2023-11-08 17:49:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiaohuizhuang6019/article/details/134272097
版权

现象:

 解决办法:

1.在master节点运行: kubeadm alpha certs renew all
2.在master节点运行: rm -f  /etc/kubernetes/kubelet.conf && cp /etc/kubernetes/admin.conf /etc/kubernetes/bootstrap-kubelet.conf 
3.在master节点运行: cp /etc/kubernetes/admin.conf ~/.kube/config

# 此命令会在/etc/kubernetes/pki目录下重新生成证书
4.在master节点运行: kubeadm init phase kubeconfig all    

5. 重启etcd,apiserver等关键容器:docker ps -a | grep -v pause | grep -E "etcd|scheduler|controller|apiserver" | awk '{print $1}' | awk '{print "docker","restart",$1}' | bash
6. master节点重启kubelet==> systemctl restart kubelet

7. 删除node节点上的/etc/kubernetes/kubelet.conf,

   用master节点上的新文件admin.conf来替换,

scp /etc/kubernetes/admin.conf  root@k8s-node2:/etc/kubernetes/

把master节点上的/etc/kubernetes/pki拷贝到各个node节点上

scp -r  /etc/kubernetes/pki root@k8s-node2:/etc/kubernetes/pki

然后node节点上重启kubelet

查看证书有效期的命令:

kubeadm alpha certs check-expiration

意外情况:node节点上的pod mysql-8fcd9f64-kwd9t起不来,一直处于creating状态

然后describe看一下:

kubectl describe pod mysql-8fcd9f64-kwd9t

 Warning  FailedCreatePodSandBox  2m5s (x1631 over 107m)  kubelet, k8s-node1  (combined from similar events): Failed to create pod sandbox: rpc error: code = Unknown desc = failed to set up sandbox container "7dc1895c2ee70a63a9c04907f612014ee6ef7e3a8132c55d920c9de3dd4f924e" network for pod "mysql-8fcd9f64-kwd9t": networkPlugin cni failed to set up pod "mysql-8fcd9f64-kwd9t_default" network: open /run/flannel/subnet.env: no such file or directory
 

 

  Normal   SandboxChanged          2m48s (x1994 over 128m)  kubelet, k8s-node1  Pod sandbox changed, it will be killed an          d re-created.
  Normal   Pulling                 27s (x2 over 49s)        kubelet, k8s-node1  Pulling image "mysql:5.7"
  Warning  Failed                  16s (x2 over 40s)        kubelet, k8s-node1  Failed to pull image "mysql:5.7": rpc err          or: code = Unknown desc = missing signature key
  Warning  Failed                  16s (x2 over 40s)        kubelet, k8s-node1  Error: ErrImagePull
  Normal   BackOff                 1s (x2 over 39s)         kubelet, k8s-node1  Back-off pulling image "mysql:5.7"
  Warning  Failed                  1s (x2 over 39s)         kubelet, k8s-node1  Error: ImagePullBackOff

基本上是报错:  /run/flannel/subnet.env 找不到这个文件。

解决办法: 找另外一台有这个文件的节点,拷贝过来即可

kingtopest
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker部署rancher证书过期问题解决方案
04-24
在Docker环境中部署Rancher时,可能会遇到Rancher证书过期问题,这将导致Kubernetes集群内部的通信出现异常。以下是一个详尽的解决方案,涵盖了问题的原因、异常现象以及具体的解决步骤。 **问题原因** Rancher在...
使用 kubeadm 部署 Kubernetes 集群(三)kubeadm 初始化 k8s 证书过期解决方案
冰恋云的专栏
12-02 739
证书有效时间默认是一年,延长证书时间
kubernetes-1.16版本证书延期
hxfzr1314521的博客
02-15 551
前言 有一套给客户部署的生产及测试环境的集群内置证书过期了,详见:https://kubernetes.io/docs/concepts/cluster-administration/certificates/,简单说就是一年以后会过期,现在需要延期,延期证书后需要重置集群,我没找到更好的方法,只能总结下自己走通的路子了。 开始升级 以下操作均在master节点,先查看下什么时候过期 kubeadm alpha certs check-expiration 很好,现在还没过期,不过快了,打
Kubernetes集群证书过期解决办法_kubernetes证书过期,2024年最新腾讯T3大佬亲自教你
2401_83739632的博客
04-15 487
etc/kubernetes/pki/etcd/healthcheck-client.crt #1年有效期。/etc/kubernetes/pki/etcd/server.crt #1年有效期。/etc/kubernetes/pki/etcd/ca.crt #10年有效期。/etc/kubernetes/pki/etcd/peer.crt #1年有效期。/etc/kubernetes/pki/ca.crt #10年有效期。
kops etcd证书过期问题
qq522044637的博客
08-26 718
前言 etcd-manager 在云或裸机上管理 etcd 集群。它借鉴了 etcd-operator 的思想,但避免了依赖 kubernetes(本身依赖 etcd)的循环依赖。 当 etcd-manager 首次启动时,它会为每个主节点颁发证书。这些证书的硬编码期限为一年。如果证书过期apiserver 将无法再访问本地 etcd 成员。 etcd-manager 首次在 Kops 1.12 中引入,该版本于 2019 年 5 月 15 日发布。这意味着,如果你升级了1.12以上的版本,并且不知
k8s踩坑(三)、kubeadm证书/etcd证书过期处理
热门推荐
ywq935的博客
03-08 2万+
故障现象 使用kubeadm部署的集群,在运行了一年之后今天,出现k8s api无法调取的现象,使用kubectl命令获取资源均返回如下报错: Unable to connect to the server: x509: certificate has expired or is not yet valid 故障排查 查看apiserver.crt证书的签署日期和过期日期: root@9027:...
ETCDapi-server证书过期时间证书生成
风水道人
09-19 211
ETCDapi-server证书过期时间证书生成
阿里云ACK的etcd证书过期手工升级操作
rendongxingzhe的博客
07-21 634
阿里云ack的etcd账户更新轮换
kubeadm初始化k8s集群延长证书过期时间.bash
06-01
kubeadm初始化k8s集群延长证书过期时间
k8s证书过期处理方案
11-17
K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问。 执行命令发现报错: Unable to connect to the server: x509: certificate has expired or is not yet valid...
Kubernetes 证书一键生成(包含 etcd 证书)
04-30
Kubernetes集群中,安全通信是至关重要的,而证书扮演着关键角色。"Kubernetes证书一键生成"项目正是为了简化这个过程,它包含了自动化生成Kubernetes及其组件etcd所需证书的工具和配置文件。让我们深入了解一下这...
K8s源码文件,可用于设置证书过期时间
05-10
K8s源码文件,可用于设置证书过期时间,使用GoLong环境编译后,生成kubeadm二进制文件,赋予执行权限后,在K8s集群初始化后生效
kubeadm证书/etcd证书过期处理
小啊宇的博客
10-14 2259
今天突然测试环境的Kubernetes 持续集成/持续发布出了问题了,然后上测试环境服务器排查,发现kubectl指令执行出现问题, Unable to connect to the server: x509: certificate has expired or is not yet valid 然后翻译了一下提示证书过期,网上查了下资料,说是:kubernetesapiServerkubelet的访问授权证书是一年,官方的解释是:通过这种方式,让用户不断的升级版本。给出的解决方案有以下几种:
kubernetes(1.23)证书过期如何续期
老段工作室
04-27 2542
通过kubeadm安装的kubernetes集群各个组件所使用证书的期限为1年,本实验练习的是到期之后如何续期。
云原生运维实战 | 快速解决高可用K8s集群证书到期问题
WeiyiGeek 唯一极客IT知识分享
06-29 782
移除并等待 20 秒(参考 KubeletConfiguration 结构 中的fileCheckFrequency 值), 等待pod终止后再将配置清单移会原始目录,然后kubelet将会重建这些Pod。由于作者水平有限,本章错漏缺点在所难免,希望读者批评指正,若有问题或建议请在文章末尾留下您宝贵的经验知识,或联系邮箱地址。Step 8.若kuebelt证书未更新,我们需要在集群证书签名请求CSR中进行批准。原文地址: https://blog.weiyigeek.top/
kubeadm kubernetes集群证书过期的处理方法
洒满阳光的午后的博客
11-16 923
动态证书重载目前还不被所有组件和证书支持,所有这项操作是必须的。正确的重启方法是临时将清单文件从 /etc/kubernetes/manifests/ 移除并等待 20 秒(参考 KubeletConfiguration 结构 中的fileCheckFrequency 值)。此时kubelet 会自动终止这些pod。pod终止后再将文件移回去,kubelet将重新创建这些pod。
运维案例之记一次Kubernetes集群证书过期或延期操作处理实践指南
WeiyiGeek 唯一极客IT知识分享
02-06 645
在年后上班的第一天,我像往常一样,登录到K8S集群之中依次检查应用,在检查开发测试环境的k8s集群时,发现执行kubectl命令报证书过期错误,顿时心情都不好了,却也无可奈何,只能进行证书续签了,由于是高可用集群遇到了许多坑,为了方便自己以及广大的运维工作者,解决相关问题,遂整理了此篇文章。# 连接 Api-server 失败,报证书过期不可用。2.实践环境# 集群版本# 集群节点# 论保存过程配置文件的重要性,在搭建k8s集群时建议备份资源清单。
kubernetes证书过期处理
07-24 2111
一、过期信息 # kubectl get pod Unable to connect to the server: x509: certificate has expired or is not yet valid 二、处理etcd证书 2.1、查看过期信息 # cd /etc/etcd/s...
k8s token加新节点
最新发布
weixin_45969972的博客
06-26 242
通过join方式加节点这种,仅限于自建k8s,云环境的话 例如ali的ack pro 没有master的,直接通过控制台加入,白屏化的操作。
Kubernetes支持证书轮换,在当前证书即将过期时,将自动生成新的秘钥,并从Kubernetes API申请新的证书。请问如何开启k8s集群证书轮换功能
07-17
要开启Kubernetes集群证书轮换功能,你需要进行以下步骤: 1. 确保你有足够的权限:证书轮换需要管理员权限来访问Kubernetes API并生成新的证书。 2. 编辑Kubernetes Master节点的kube-apiserver配置文件。这个文件通常位于`/etc/kubernetes/manifests/kube-apiserver.yaml`路径下。 3. 在`kube-apiserver.yaml`文件中找到`--cert-dir`参数,并确保其值是一个有效的目录路径。这个目录用于存储证书和秘钥。 4. 确保`--rotate-certificates`参数被设置为`true`,这个参数告诉kube-apiserver证书过期前自动轮换证书。 5. 保存并退出kube-apiserver配置文件。 6. 重启kube-apiserver服务,以使更改生效。你可以使用以下命令来重启: ``` sudo systemctl restart kube-apiserver ``` 现在,当证书即将过期时,Kubernetes集群会自动生成新的秘钥,并从Kubernetes API申请新的证书。请确保在轮换证书之前备份好旧的证书和秘钥,以防止任何潜在问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值