12. Rancher Kubernetes 组件-过期 Webhook 证书轮换故障排除

于 2024-05-21 14:39:01 发布
阅读量370 收藏 3
点赞数 8
分类专栏: 3.Rancher微服务方案 文章标签: rancher kubernetes 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lidw2009/article/details/139092262
版权

Rancher Kubernetes 组件图

过期 Webhook 证书轮换

如果你的 Rancher 版本安装了 rancher-webhook,某些版本创建的证书将在一年后过期。如果证书未续订,你需要轮换你的 webhook 证书。

在 Rancher v2.6.3 及更高版本中,rancher-webhook deployments 将在到期日期后 30 天或更短的时间内自动更新其 TLS 证书。如果你使用的是 v2.6.2 或更低版本,你可以通过下面两种方法来解决这个问题。

1. 如果用户具有集群访问权限,运行以下命令:
kubectl delete secret -n cattle-system cattle-webhook-tls
kubectl delete mutatingwebhookconfigurations.admissionregistration.k8s.io --ignore-not-found=true rancher.cattle.io
kubectl delete pod -n cattle-system -l app=rancher-webhook

2. 如果用户没有集群访问权限,使用 kubectl

  1. 删除 local 集群 cattle-system 命名空间中的 cattle-webhook-tls 密文。

  2. 删除 rancher.cattle.io mutating webhook。

  3. 删除 local 集群 cattle-system 命名空间中的 rancher-webhook pod。

备注

webhook 证书过期问题不止示例中列出的 cattle-webhook-tls。你需要相应地填写你过期的证书密文。

IT干货+136-6258-1235-CSDN博客

IT干货+136-6258-1235
关注
  • 8
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
rancher-webhook x509: certificate has expired or is not yet valid
小单的博客专栏
12-14 1072
本文一张图陈述了全文内容,可以右键在新窗口打开查看清晰图: (END)
通过 Rancher webhook 实现服务自动升级
11-12
上期我们讲述了如何通过Rancher webhook微服务实现Service/Host的弹性伸缩.这期我们再来讲一下通过Rancher webhook对接三方的CI系统,如何实现微服务服务镜像的自动构建与升级。 PS: CI即持续集成,包括但不限于自动编译、发布和测试、自动构建,我们这里说的CI系统仅限于自动构建这一步。 上期已经对webhook做了介绍,这里不再讲解,整个升级流程如下图所示:
Linux下使用curl命令访问https问题
jacklin_01的博客
09-10 7191
用curl访问htttps网址报错证书过期或者证书不对 curl https://localhost/web/aaa.php curl: (60) Peer certificate cannot be authenticated with known CA certificates More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate verification by defaul
rancher 轮换证书
IT老男孩
01-20 1004
本文永久链接: https://www.xtplayer.cn/rancher/cert/rancher-rotate-cert/警告 如果您的证书已经过期,请先不要升级 Rancher Server,根据 证书过期导致无法连接 k8s 进行处理。默认情况下,Kubernetes 集群使用 ssl 证书来加密通信,Rancher 自动为集群生成证书。在 Rancher v2.0.14、v2.1....
更换rancher证书
最新发布
个人成长的轨迹记录
11-14 362
rancher控制台的https证书有效期一年,到期后需要手动更新证书。当rancher证书过期后,会导致rancher控制台无法访问的问题。
Rancher 2.4.x 单容器证书过期&证书轮换方法
Task深水炸弹
05-24 1744
Rancher 2.4.x 官方文档之证书轮换 https://rancher2.docs.rancher.cn/docs/rancher2/cluster-admin/certificate-rotation/_index/ 错误现象: 通过观察可以看到,很明显的有证书过期的字样,且6443端口是apiserver监听的位置,所以考虑是集群证书过期,接下来要进行验证。 rancher_server_id=<rancher_server_container_id> docker exec .
Rancher.Desktop.Setup.1.9.0-tech-preview
04-21
Rancher.Desktop.Setup.1.9.0-tech-preview
docker部署rancher证书过期问题解决方案
04-24
在Docker环境中部署Rancher时,可能会遇到Rancher证书过期的问题,这将导致Kubernetes集群内部的通信出现异常。以下是一个详尽的解决方案,涵盖了问题的原因、异常现象以及具体的解决步骤。 **问题原因** Rancher在...
Rancher-Cert-Manager:Rancher证书管理器的安装
04-08
Rancher证书经理 使用“让我们加密”为Rancher安装Cert Mgr 让我们加密K8s集群发行人的JetStack kubectl适用-f kubectl获取容器--namespace cert-manager 集群发行人 kubectl create -f staging_issuer.yaml ...
container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
09-18
docker离线安装所需包,需要的拿去吧
如何通过Rancherwebhook微服务实现Service/Host的弹性伸缩
02-25
结合大家CICD的应用场景,本篇Blog旨在介绍如何通过Rancherwebhook微服务来实现Service/Host的弹性伸缩。ServiceScale创建example服务对象。创建servicescalewebhook对象。第三方触发webhook,完成service弹性伸缩。HostSacle通过阿里云machinedriver创建实例对象,打上scale-up标签。创建hostscalewebhook对象。第三方触发webhook,完成host弹性伸缩。Rancherwebhook的服务流程大致如下:WebhookDriver(WD)初始化。RouterHandler(RH)初始
rancher-launcher-kvm:一种简单的方法可以在KVMLibvirt上启动并运行Rancher Kubernetes集群
05-08
一种简单的方法可以在KVM / Libvirt上启动和运行Rancher Kubernetes集群 该项目由Praqma.com赞助 该脚本将在使用docker和ssh key准备的KVM中创建机器。 它还将生成一个cluster.yml,RKE可以使用它来置备Kubernetes...
rancher16 通过 webhook 自动升级服务
IT老男孩
01-06 1068
本文永久链接: https://www.xtplayer.cn/rancher/rancher16-webhook-auto-update/概述前面的文章我们有讲述了如何通过 Rancher-webhook 实现 Service/Host 的弹性伸缩。今天我们再来演示一下如何通过 Rancher-webhook 对接三方的 CI 系统,实现微服务镜像的自动构建与服务的自动升级。PS: CI 即持续...
使用Rancher webhook实现弹性扩容缩容
丁丁爸爸的技术博客
11-18 3709
使用Rancher webhook实现弹性扩容缩容   实验目标: 学会使用Rancher中的Webhook,实现Rancher应用服务的扩容或缩容。   实验过程: 通过在Rancher中创建webhook,获取扩容或缩容的HTTP API网址,然后通过curl工具发送HTTP POST请求,实现扩容或缩容。 (也可以使用其他能够发送HTTP POST请求的工具来验证,比如Fi
webhook证书管理
fayeestone的博客
07-29 2058
简介 在kubernetes中,为了保证安全要求必须使用https协议访问webhook服务器。这里就会涉及到TLS证书问题,介绍TLS证书的资料很多,基本原理就是通过公钥和私钥验证通信双方的合法身份。在使用operator SDk开发中webhook默认使用名字为webhook-server-cert的secret提供TLS证书。详细内容可以查看配置文件config/default/manager_webhook_patch.yaml中下面部分: ... volumes: - name: cert s
无需重新搭建集群,轻松替换证书
Rancher
04-20 1516
作者简介 王海龙,Rancher中国社区技术经理,负责Rancher中国技术社区的维护和运营。拥有6年的云计算领域经验,经历了OpenStack到Kubernetes的技术变革,无论底层操作系统Linux,还是虚拟化KVM或是Docker容器技术都有丰富的运维和实践经验。 前 言 Rancher Server的证书问题一直是Rancher技术社区里被频繁提到的问题。如果用户在首次搭建Rancher环境时没有考虑充分,后期需要替换证书时一般操作是重新搭建集群。 本文将介绍如何在原有集群中替换Ranche.
rancher 添加集群 添加节点 Internal error occurred: failed calling webhookrancherauth.cattle.io“ 错误
天津托的博客
07-12 3189
Internal error occurred: failed calling webhook"rancherauth.cattle.io":Post https://rancher-webhook.cattle-system.svc:443/v1/webhook/validation?timeout=10s: x509: certificate has expired or is not yet valid
Rancher2.6.2证书更新--有坑需要注意
忘记旧账号的运维~
04-07 913
rancher server的证书有效期是一年,在一年后,rancher server会报证书过期。通过下面的方式你可以创建新的证书。坑写在前面吧,Rancher2.6.2或一下版本的证书不会自动轮换,官网有rke轮换的方法,切记要看清楚版本再操作~~Rancher v2.6.3 及更高版本中,rancher-webhook deployments 则会在到期前。本方法使用于单节点部署的rancher及rke部署的rancher,通用方法。版本创建的证书将在一年后过期证书不会自动更新,需要手动更新。
如何通过Rancherwebhook微服务实现Service/Host的自动化管理
weixin_41888295的博客
05-23 1285
弹性伸缩是现代应用程序中必不可少的一项技术,它可以根据负载的变化自动地增加或减少资源,从而保证应用程序始终能够提供高效的服务。在Docker容器化部署环境中,Rancher是一个常用的容器管理平台,它提供了丰富的功能,包括弹性伸缩。总之,使用Rancher webhook微服务可以实现Service/Host的弹性伸缩,从而保证应用程序能够提供高效的服务。例如,如果配置的API接口是要创建新容器的代码,则webhook会创建新的容器来增加资源。例如,如果要创建新的容器,可以在API接口中添加相应的代码。
rancher 发布python 打包成api 输出dockerfile和.rancher-pipeline.yml
03-31
以下是一个示例的 `Dockerfile` 和 `.rancher-pipeline.yml` 文件,用于将 Python 应用程序打包成 API 并在 Rancher 上部署: Dockerfile: ``` FROM python:3.8-slim-buster # Set the working directory WORKDIR /app # Install dependencies COPY requirements.txt . RUN pip install --no-cache-dir -r requirements.txt # Copy the application code COPY app.py . # Expose the port EXPOSE 5000 # Start the application CMD [ "python", "app.py" ] ``` .rancher-pipeline.yml: ``` version: 2 # Define the pipeline pipelines: default: # Define the build step build: # Use the Dockerfile to build the image image: dockerfile:1.1.1 dockerfilePath: Dockerfile # Push the image to the Docker registry push: true registry: <your-registry> repository: <your-repository> tag: latest # Define the deploy step deploy: # Use the Rancher provider to deploy the image provider: rancher2 # Specify the Rancher API URL and access key apiURL: https://<your-rancher-url>/v3 accessKey: <your-access-key> secretKey: <your-secret-key> # Specify the Rancher project and namespace projectID: <your-project-id> namespace: <your-namespace> # Specify the Docker image to deploy image: <your-registry>/<your-repository>:latest # Specify the number of replicas to run replicas: 1 # Specify the service name and port serviceName: <your-service-name> servicePort: 5000 ``` 要使用这些文件,请按照以下步骤进行操作: 1. 创建一个名为 `Dockerfile` 的文件,并将上述 Dockerfile 代码复制到其中。 2. 创建一个名为 `requirements.txt` 的文件,并将 Python 应用程序的依赖项列在其中。 3. 创建一个名为 `app.py` 的文件,并将 Python 应用程序的代码复制到其中。 4. 创建一个名为 `.rancher-pipeline.yml` 的文件,并将上述 .rancher-pipeline.yml 代码复制到其中。 5. 将 `<your-registry>`、`<your-repository>`、`<your-rancher-url>`、`<your-access-key>`、`<your-secret-key>`、`<your-project-id>`、`<your-namespace>` 和 `<your-service-name>` 替换为实际值。 6. 将这些文件添加到 Git 存储库中,并在 Rancher 上设置 CI/CD 管道以使用这些文件构建和部署应用程序。 注意:这些文件只是示例,并且可能需要根据您的实际需求进行修改。请参考 Rancher 和 Docker 文档以了解有关如何使用这些工具的更多信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT干货+136-6258-1235

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值