k8s证书过期---手动更新

已于 2022-07-29 14:08:21 修改
阅读量5.6k 收藏 18
点赞数 1
分类专栏: kubernetes 文章标签: kubernetes docker 容器
于 2022-03-17 11:21:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lcm_linux/article/details/123544534
版权

背景:

执行命令发现报错:
Unable to connect to the server: x509: certificate has expired or is not yet valid
在这里插入图片描述
这就是k8s的证书过期了
k8s解决证书过期官方文档:https://kubernetes.io/zh/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/
查看是k8s master 节点证书过期了,登录master服务器,进入 /etc/kubernetes/ 查看:

[root@k8s-145246 ~]# cd /etc/kubernetes
[root@k8s-145246 kubernetes]# ll
total 40
-rw------- 1 root root 5455 Mar 16  2021 admin.conf
-rw------- 1 root root 5491 Mar 16  2021 controller-manager.conf
-rw------- 1 root root 1879 Mar 16  2021 kubelet.conf
drwxr-xr-x 2 root root 4096 Jul 27  2021 manifests
drwxr-xr-x 5 root root 4096 Apr  2  2021 pki
-rw------- 1 root root 5435 Mar 16  2021 scheduler.conf
drwxr-xr-x 3 root root 4096 Mar 18  2021 volumes
[root@k8s-145246 kubernetes]# cd pki/
[root@k8s-145246 pki]# ll
total 76
-rw-r--r-- 1 root root 1224 Mar 16  2021 apiserver.crt
-rw-r--r-- 1 root root 1090 Mar 16  2021 apiserver-etcd-client.crt
-rw------- 1 root root 1679 Mar 16  2021 apiserver-etcd-client.key
-rw------- 1 root root 1679 Mar 16  2021 apiserver.key
-rw-r--r-- 1 root root 1099 Mar 16  2021 apiserver-kubelet-client.crt
-rw------- 1 root root 1675 Mar 16  2021 apiserver-kubelet-client.key
-rw-r--r-- 1 root root  162 Apr  1  2021 basic_auth_file
-rw-r--r-- 1 root root   32 Apr  1  2021 basic_auth_file_ops
-rw-r--r-- 1 root root 1025 Mar 16  2021 ca.crt
-rw------- 1 root root 1675 Mar 16  2021 ca.key
drwxr-xr-x 2 root root 4096 Mar 16  2021 etcd
-rw-r--r-- 1 root root 1038 Mar 16  2021 front-proxy-ca.crt
-rw------- 1 root root 1679 Mar 16  2021 front-proxy-ca.key
-rw-r--r-- 1 root root 1058 Mar 16  2021 front-proxy-client.crt
-rw------- 1 root root 1679 Mar 16  2021 front-proxy-client.key
-rw------- 1 root root 1679 Mar 16  2021 sa.key
-rw------- 1 root root  451 Mar 16  2021 sa.pub
drwxr-xr-x 2 root root 4096 Apr  2  2021 ssl
drwxr-xr-x 2 root root 4096 Apr  2  2021 ssl_self

查看是否过期

[root@k8s-145246 pki]# openssl x509 -in apiserver.crt -noout -text |grep ' Not '
            Not Before: Mar 16 05:58:49 2021 GMT
            Not After : Mar 16 05:58:49 2022 GMT

检查k8s环境证书是否过期

[root@k8s-145246 pki]# kubeadm alpha certs check-expiration
[check-expiration] Reading configuration from the cluster...
[check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml'
[check-expiration] Error reading configuration from the Cluster. Falling back to default configuration

W0316 14:21:38.307724   49056 configset.go:202] WARNING: kubeadm cannot validate component configs for API groups [kubelet.config.k8s.io kubeproxy.config.k8s.io]
CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
admin.conf                 Mar 16, 2022 05:58 UTC   <invalid>                               no      
apiserver                  Mar 16, 2022 05:58 UTC   <invalid>       ca                      no      
apiserver-etcd-client      Mar 16, 2022 05:58 UTC   <invalid>       etcd-ca                 no      
apiserver-kubelet-client   Mar 16, 2022 05:58 UTC   <invalid>       ca                      no      
controller-manager.conf    Mar 16, 2022 05:58 UTC   <invalid>                               no      
etcd-healthcheck-client    Mar 16, 2022 05:58 UTC   <invalid>       etcd-ca                 no      
etcd-peer                  Mar 16, 2022 05:58 UTC   <invalid>       etcd-ca                 no      
etcd-server                Mar 16, 2022 05:58 UTC   <invalid>       etcd-ca                 no      
front-proxy-client         Mar 16, 2022 05:58 UTC   <invalid>       front-proxy-ca          no      
scheduler.conf             Mar 16, 2022 05:58 UTC   <invalid>                               no      

CERTIFICATE AUTHORITY   EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
ca                      Mar 14, 2031 05:58 UTC   8y              no      
etcd-ca                 Mar 14, 2031 05:58 UTC   8y              no      
front-proxy-ca          Mar 14, 2031 05:58 UTC   8y              no

经查看k8s master 组件 证书都过期了,有效期是一年

解决问题:

以下操作均在master节点

1、备份一下 /etc /kubernetes /pki 目录下的所有文件。

[root@k8s-145246 pki]# cd ..
[root@k8s-145246 kubernetes]# ll
total 40
-rw------- 1 root root 5455 Mar 16  2021 admin.conf
-rw------- 1 root root 5491 Mar 16  2021 controller-manager.conf
-rw------- 1 root root 1879 Mar 16  2021 kubelet.conf
drwxr-xr-x 2 root root 4096 Jul 27  2021 manifests
drwxr-xr-x 5 root root 4096 Apr  2  2021 pki
-rw------- 1 root root 5435 Mar 16  2021 scheduler.conf
drwxr-xr-x 3 root root 4096 Mar 18  2021 volumes
[root@k8s-145246 kubernetes]# cp -r pki pki.bak20220316

2、手动更新所有证书,执行命令

[root@k8s-145246 kubernetes]# cd pki
[root@k8s-145246 pki]# kubeadm alpha certs renew all
[renew] Reading configuration from the cluster...
[renew] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml'
[renew] Error reading configuration from the Cluster. Falling back to default configuration

W0316 14:22:47.549844    1406 configset.go:202] WARNING: kubeadm cannot validate component configs for API groups [kubelet.config.k8s.io kubeproxy.config.k8s.io]
certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself renewed
certificate for serving the Kubernetes API renewed
certificate the apiserver uses to access etcd renewed
certificate for the API server to connect to kubelet renewed
certificate embedded in the kubeconfig file for the controller manager to use renewed
certificate for liveness probes to healthcheck etcd renewed
certificate for etcd nodes to communicate with each other renewed
certificate for serving etcd renewed
certificate for the front proxy client renewed
certificate embedded in the kubeconfig file for the scheduler manager to use renewed

3、查看证书有效期是否更新

[root@k8s-145246 pki]# openssl x509 -in apiserver.crt -noout -text |grep ' Not '
            Not Before: Mar 16 05:58:49 2021 GMT
            Not After : Mar 16 06:22:48 2023 GMT

[root@k8s-145246 pki]# kubectl get nodes
NAME         STATUS   ROLES         AGE    VERSION
k8s-145103   Ready    edge          365d   v1.18.16
k8s-145104   Ready    <none>        365d   v1.18.16
k8s-145246   Ready    edge,master   365d   v1.18.16

此时命令可用了
但是还没有结束,需要进行下一步,不然k8s组件会报错:

 authentication.go:65] Unable to authenticate the request due to an error: x509: certificate has expired or is not yet valid

导致不能重新创建pod
4、在master节点上将/etc/kubernetes目录下的所有配置文件备份

[root@k8s-145246 etc]# cp -r /etc/kubernetes /etc/kubernetes.bak

5、更新用户配置:执行下面多个命令

kubeadm alpha kubeconfig user --client-name=admin
kubeadm alpha kubeconfig user --org system:masters --client-name kubernetes-admin  > /etc/kubernetes/admin.conf
kubeadm alpha kubeconfig user --client-name system:kube-controller-manager > /etc/kubernetes/controller-manager.conf
kubeadm alpha kubeconfig user --org system:nodes --client-name system:node:$(hostname) > /etc/kubernetes/kubelet.conf
kubeadm alpha kubeconfig user --client-name system:kube-scheduler > /etc/kubernetes/scheduler.conf

6、用更新后的admin.conf替换/root/.kube/config文件

cp -i /etc/kubernetes/admin.conf /root/.kube/config

将/etc/kubernetes/admin.conf 分发到其他node节点后,node节点就可以使用kubectl命令了
7、重启所有master节点上的apiserver和scheduler两个系统组件
正常tar包部署的k8s可以使用下面的命令重启:

systemctl restart kube-apiserver
systemctl restart kube-scheduler

但是kubeadm部署的方式需要重启相关pod后再重启对应的docker

[root@k8s-145246 pki]# kubectl get po -n kube-system|grep k8s
etcd-k8s-145246                           1/1     Running             17         17h
kube-apiserver-k8s-145246                 1/1     Running             20         18h
kube-controller-manager-k8s-145246        1/1     Running             19         17h
kube-scheduler-k8s-145246                 1/1     Running             18         18h

docker ps |grep -E 'k8s_kube-apiserver|k8s_kube-controller-manager|k8s_kube-scheduler|k8s_etcd_etcd' | awk -F ' ' '{print $1}' |xargs docker restart

此时证书更新全部完成,pod恢复正常

附上一个大神写的自动更新10年证书的文章参考:
https://www.qikqiak.com/post/update-k8s-10y-expire-certs/

lcm_linux
关注
  • 1
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8S之 metrics-server 组件
06-17
K8S之 metrics-server 组件
k8s-dns-sidecar-amd64
09-26
k8s-dns-sidecar-amd64-1.14.8镜像,镜像使用方法: docker load -i k8s-dns-sidecar-amd64-1.14.8.tar.gz
k8s 证书过期解决
jiangbenchu的博客
11-16 9303
K8S CA证书是10年,但是组件证书的日期只有1年,为了证书一直可用状态需要更新,目前主流的一共有3种: 1、版本升级,只要升级就会让各个证书延期1年,官方设置1年有效期的目的就是希望用户在一年内能升级1次,详见:k8s升级 2、通过命令续期 (这种只能延长一年) 3、编译源码Kubeadm,设置10年 一、查看证书过期时间 vim test.sh for item in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`; do openssl x5
Unable to connect to the server: x509: certificate has expired or is not yet valid
weixin_54104864的博客
06-15 5765
【代码】Unable to connect to the server: x509: certificate has expired or is not yet valid。
k8s证书过期处理 手动生成证书、凭证
最新发布
寂夜了无痕的博客
05-18 1264
k8s证书过期处理 手动生成证书、凭证
k8s- kubernetes证书过期替换之kubeadm命令 certs renew all方式
liuyij3430448的博客
04-27 5636
**k8s集群之间的访问会使用到证书,如果使用kubeadm搭建的集群,默认CA证书的有效期为10年,其他组件访问证书的有效期为1年。如果过期后没有更新证书可能会引起k8s集群的不可用**
K8S异常之Unable to connect to the server: x509: certificate has expired or is not yet valid
一掬净土
01-03 8405
K8S异常之Unable to connect to the server: x509: certificate has expired or is not yet valid
kubernetes(1.23)证书过期如何续期
老段工作室
04-27 2531
通过kubeadm安装的kubernetes集群各个组件所使用证书的期限为1年,本实验练习的是到期之后如何续期。
解决K8S证书过期步骤(续一年)
weixin_41914251的博客
06-25 1881
K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/pki 路径下,kubeadm 生成的证书默认有效为 1 年,因此需要定时更新证书,否则证书到期会导致整个集群不可用。本篇文章主要介绍如何通过 kubeadm 重新生成证书。有其他的办法可以更长时间的延长证书。8、替换kubeconfig。9、查看证书时间(续一年)7、重启kubelet。4、重新生成全部证书。6、生成所有配置文件。
k8s证书过期处理方案
11-17
k8s默认的证书有效期为一年,在实际生产中,经常遇到证书过期导致的节点故障问题。 K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问。 执行命令发现报错: ...
k8s-rdma-sriov-dev-plugin:Kubernetes Rdma SRIOV 设备插件
05-31
k8s-rdma-sriov-dev-plugin ( ) 这是一个简单的 rdma 设备插件,支持 IB 和 RoCE SRIOV vHCA 和 HCA。 这也支持 Mellanox NIC 的 DPDK 应用程序。 这个插件作为 daemonset 运行。 它的容器镜像可以在 rdma/k8s-rdma-...
K8S集群证书监控ssl-exporter监控模板
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
k8s 老集群二进制 ca证书过期解决过程
不忘初心,方得始终
02-28 1208
修改.kube/config文件中的certificate-authority-data 字段内容。3. 更新.kube/config 文件(如果有多个master的话,每个节点都需要替换)查看/etc/kubernetes/ssl/ca.pem 有效期。4. 重启etcd和kube-apiserver (必须重启)得到ca.pem证书base64编码后的内容。1. 备份原来的配置文件及证书。2. 重新颁发ca证书
查看k8s证书过期时间:各组件
学亮编程手记
02-22 4851
[root@k8s-n0 kuboard-install]# kubeadm alpha certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml' [check-expi
自建k8s集群证书到期的更换
麦兜爱说谎
03-16 955
1、说明 一般正常安装k8s集群,集群证书的有效期是一年,包括以下证书: - apiserver - apiserver-kubelet-client - apiserver-etcd-client - front-proxy-client - etcd/server - etcd/peer - etcd/healthcheck-client 2、证书过期问题解决办法 对于手动生成的证书 手动安装过程中,只需指定证书过期时间为N天...
如何优雅处理k8s证书过期的问题
m0_62451624的博客
12-20 633
当发现k8s中kubelet无法启动的时候,整个集群也出现问题,可以通过kubeadm去排查集群证书是否过期,本集群是etcd集群证书过期,采取了官方更新证书的方式去更新集群的证书(有效期为一年),后续会出教程如何更新集群证书为永久 并检查证书的有效期,以及更新集群的证书。效果可以见图二 如出现以下错误执行以下命令,原因为当前用户变量未生效 5、最后检查集群状态(正常)
k8s报错:Unable to connect to the server: x509: certificate has expired or is not yet valid
qq_42448043的博客
01-02 8329
问题现象:kubernetes集群部署过程中,kubectl相关命令不可用,报错:Unable to connect to the server: x509: certificate has expired or is not yet valid。过一段时间又可以正常使用。 解决方案:检查生成证书的机器的时间是否与master、node节点时间同步,若生成证书机器的时间早于master、node...
【运维】K8S集群部署系列之ETCD集群搭建(三)
weixin_39974140的博客
08-13 684
ETCD集群安全升级 【运维】K8S集群部署系列之ETCD集群搭建(一) 中已部署了由master、node1、node2三个节点组成的普通集群。创建TLS加密方式的ETCD安全集群可以采取删除旧集群重建和逐步升级的方式,相对于删除后重建的方式,逐步升级为安全集群可避免旧数据丢失,本文将采取逐步升级的方式。 证书准备 在【运维】K8S集群部署系列之ETCD集群搭建(二) 中我们已经制作了本文...
K8s证书过期后重新生成证书(1.15+版本)
为梦想奋斗
01-11 1805
最近在使用kubectl管理本地测试k8s集群时报错(k8s Unable to connect to the server: x509: certificate has expired or is not yet valid),首先想到的是服务部属已经挺久了应该是证书过期导致,一番网络大法后操作记录如下。 最前面当然是先备份 /etc/kubernetes 目录 cp -Ra /etc/kubernetes /tmp/kubernetes-backup 在操作之前可以使用以下命令查看证书时间,k
指定pod扩展到k8s-master-03
06-10
要将一个 Pod 扩展到 Kubernetes 集群中的 k8s-master-03 节点,你可以使用 nodeSelector 字段来指定该 Pod 必须在哪个节点上运行。具体的步骤如下: 1. 在 Pod 的 YAML 文件中添加 nodeSelector 字段,并将其设置为 k8s-master-03 节点的标签。例如: ``` apiVersion: v1 kind: Pod metadata: name: my-pod spec: nodeSelector: kubernetes.io/hostname: k8s-master-03 containers: - name: my-container image: nginx ``` 2. 使用 kubectl apply 命令将 Pod 配置文件部署到 Kubernetes 集群中。例如: ``` kubectl apply -f my-pod.yaml ``` 这样,该 Pod 就会被部署到 k8s-master-03 节点上。请注意,k8s-master-03 节点必须已经被添加了 kubernetes.io/hostname 标签,否则该节点无法被选择为 Pod 的运行节点。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值