Rancher证书过期 rancher页面无法登录

最新推荐文章于 2024-05-11 17:28:45 发布
最新推荐文章于 2024-05-11 17:28:45 发布
阅读量2.9k 收藏 2
点赞数
分类专栏: Rancher证书过期  rancher页面无法登录 文章标签: 运维
原文链接:https://docs.rancher.cn/docs/rancher2.5/cluster-admin/certificate-rotation/_index/#%E6%A6%82%E8%BF%B0
版权

 Rancher证书过期  rancher页面无法登录

一 系统分析;

  1. 使用命令docker ps  -a 查询rancher镜像版本为2.4.5 ,和ID号。
  2. 查看Rancher运行是否正常。在查看日志。
  3. 使用命令 docker logs -f --tail 200  <rancher ID号> 查询日志,原因是rancher证书过期。
  4. 运行 docker exec -it <rancher ID号> /bin/bash  进入ruancher server镜像,运行如下命令:4.    根据不同版本的运行命令不同:rancher-server最新版本为2.5.4

参考转载文章:<独立容器 Rancher Server 证书更新>,部分更新证书,其他部分作为参考资料也转载出来了。

  1. 文章连接:

https://docs.rancher.cn/docs/rancher2.5/cluster-admin/certificate-rotation/_index/#%E6%A6%82%E8%BF%B0

二 转载文章:

轮换证书

概述#

默认情况下,Kubernetes 集群所需要的证书由 Rancher 生成,如果出现证书过期,或证书泄露等情况,则需要使用新的证书轮换掉有问题的证书。轮换证书后,Kubernetes 组件将自动重新启动。

以下服务支持证书轮换:

  • etcd
  • kubelet
  • kube-apiserver
  • kube-proxy
  • kube-scheduler
  • kube-controller-manager

警告

轮换 Kubernetes 证书可能会导致集群在重新启动组件时暂时不可用。对于生产环境,建议在维护时段内执行此操作。

Rancher v2.2.x 中的证书轮换#

Rancher 启动的 Kubernetes 集群(RKE 集群)能够通过 UI 轮换自动生成的证书。

全局视图中,导航到要轮换证书的集群。

选择省略号(...)>轮换证书

选择要轮换的证书。

    • 轮换所有服务证书(保持相同的 CA)
    • 轮换单个服务,然后从下拉菜单中选择一项服务

单击保存

结果:所选证书将被轮换,相关服务将重新启动以开始使用新证书。

注意: 尽管 RKE CLI 可以为 Kubernetes 集群组件使用自定义证书,但目前 Rancher 不支持在 Rancher UI 中创建 RKE 集群时上传这些证书。

Rancher v2.1.x 和 v2.0.x 中的证书轮换#

在版本 v2.0.14 以及 v2.1.9 中支持

Rancher 启动的 Kubernetes 集群能够通过 API 轮换自动生成的证书。

1.在全局视图中,导航到要轮换证书的集群。

2.选择省略号(...)>在 API 中查看

3.单击 RotateCertificates

4.单击显示请求

5.单击发送请求

结果:所有 Kubernetes 证书将被轮换。

升级较旧的 Rancher 版本后轮换过期的证书#

如果要从 Rancher v2.0.13 或更早版本或 v2.1.8 或更早版本升级,并且您的集群已过期证书,则需要一些手动步骤来完成证书轮换。

对于 controlplane 和 etcd 节点,登录到每个对应的主机,并检查证书 kube-apiserver-requestheader-ca.pem 是否在以下目录中:

cd /etc/kubernetes/.tmp

Copy

如果证书不在目录中,请执行以下命令:

cp kube-ca.pem kube-apiserver-requestheader-ca.pem

cp kube-ca-key.pem kube-apiserver-requestheader-ca-key.pem

cp kube-apiserver.pem kube-apiserver-proxy-client.pem

cp kube-apiserver-key.pem kube-apiserver-proxy-client-key.pem

Copy

如果.tmp目录不存在,则可以将整个 SSL 证书复制到.tmp中:

cp -r /etc/kubernetes/ssl /etc/kubernetes/.tmp

Copy

轮换证书。对于 Rancher v2.0.x 和 v2.1.x,请使用 Rancher API,对于 Rancher 2.2.x 请使用Rancher UI

命令完成后,检查 worker 节点是否处于活动状态。如果不是,请登录到每个 worker 节点,然后重新启动 kubelet 和 agent。

RKE 证书轮换 (local 集群和业务集群通用)#

可用版本: rke v0.2.0+

注意 如果以前是通过rke v0.2.0之前的版本创建的 Kubernetes 集群,在轮换证书前先执行rke up操作,参考证书管理

通过 RKE 轮换证书,目前支持的操作包括:

    • 批量更新所有服务证书(CA 证书不变)
    • 更新某个指定服务(CA 证书不变)
    • 轮换 CA 和所有服务证书

批量更新所有服务证书(CA 证书不变)

rke cert rotate

INFO[0000] Initiating Kubernetes cluster

INFO[0000] Rotating Kubernetes cluster certificates

INFO[0000] [certificates] Generating Kubernetes API server certificates

INFO[0000] [certificates] Generating Kube Controller certificates

INFO[0000] [certificates] Generating Kube Scheduler certificates

INFO[0001] [certificates] Generating Kube Proxy certificates

INFO[0001] [certificates] Generating Node certificate

INFO[0001] [certificates] Generating admin certificates and kubeconfig

INFO[0001] [certificates] Generating Kubernetes API server proxy client certificates

INFO[0001] [certificates] Generating etcd-xxxxx certificate and key

INFO[0001] [certificates] Generating etcd-yyyyy certificate and key

INFO[0002] [certificates] Generating etcd-zzzzz certificate and key

INFO[0002] Successfully Deployed state file at [./cluster.rkestate]

INFO[0002] Rebuilding Kubernetes cluster with rotated certificates

.....

INFO[0050] [worker] Successfully restarted Worker Plane..

Copy

更新指定服务(CA 证书不变)

rke cert rotate --service kubelet

INFO[0000] Initiating Kubernetes cluster

INFO[0000] Rotating Kubernetes cluster certificates

INFO[0000] [certificates] Generating Node certificate

INFO[0000] Successfully Deployed state file at [./cluster.rkestate]

INFO[0000] Rebuilding Kubernetes cluster with rotated certificates

.....

INFO[0033] [worker] Successfully restarted Worker Plane..

Copy

轮换 CA 和所有服务证书

rke cert rotate --rotate-ca

INFO[0000] Initiating Kubernetes cluster

INFO[0000] Rotating Kubernetes cluster certificates

INFO[0000] [certificates] Generating CA kubernetes certificates

INFO[0000] [certificates] Generating Kubernetes API server aggregation layer requestheader client CA certificates

INFO[0000] [certificates] Generating Kubernetes API server certificates

INFO[0000] [certificates] Generating Kube Controller certificates

INFO[0000] [certificates] Generating Kube Scheduler certificates

INFO[0000] [certificates] Generating Kube Proxy certificates

INFO[0000] [certificates] Generating Node certificate

INFO[0001] [certificates] Generating admin certificates and kubeconfig

INFO[0001] [certificates] Generating Kubernetes API server proxy client certificates

INFO[0001] [certificates] Generating etcd-xxxxx certificate and key

INFO[0001] [certificates] Generating etcd-yyyyy certificate and key

INFO[0001] [certificates] Generating etcd-zzzzz certificate and key

INFO[0001] Successfully Deployed state file at [./cluster.rkestate]

INFO[0001] Rebuilding Kubernetes cluster with rotated certificates

Copy

因为证书改变,相应的token也会变化,所以在完成集群证书更新后,需要对连接API SERVER的 Pod 进行重建,以获取新的token。

    • cattle-system/cattle-cluster-agent
    • cattle-system/cattle-node-agent
    • cattle-system/kube-api-auth
    • ingress-nginx/nginx-ingress-controller
    • kube-system/canal
    • kube-system/kube-dns
    • kube-system/kube-dns-autoscaler
    • 其他应用 Pod

独立容器 Rancher Server 证书更新#

证书未过期

证书未过期时,rancher server 可以正常运行。升级到 Rancher v2.0.14+ 、v2.1.9+、v2.2.2+ 后会自动检查证书有效期,如果发现证书即将过期,将会自动生成新的证书。所以独立容器运行的 Rancher Server,只需在证书过期前把 rancher 版本升级到支持自动更新 ssl 证书的版本即可,无需做其他操作。

证书已过期

如果证书已过期,那么 rancher server 无法正常运行。即使升级到 Rancher v2.0.14+ 、v2.1.9+、v2.2.2+ 也可能会提示证书错误。如果出现这种情况,可通过以下操作进行处理:

正常升级 rancher 版本到 v2.0.14+ 、v2.1.9+、v2.2.2+;

执行以下命令:

2.0 或 2.1 版本

docker exec -ti <rancher_server_id> mv /var/lib/rancher/management-state/certs/bundle.json /var/lib/rancher/management-state/certs/bundle.json-bak

Copy

2.2 +

docker exec -ti <rancher_server_id> mv /var/lib/rancher/management-state/tls/localhost.crt /var/lib/rancher/management-state/tls/localhost.crt-bak

Copy

2.3 +

docker exec -ti <rancher_server_id> mv /var/lib/rancher/k3s/server/tls /var/lib/rancher/k3s/server/tlsbak

# 执行两侧,第一次用于申请证书,第二次用于加载证书并启动

docker restart <rancher_server_id>

Copy

2.4 +

        1. exec 到 rancher server

kubectl --insecure-skip-tls-verify -n kube-system delete secrets k3s-serving

kubectl --insecure-skip-tls-verify delete secret serving-cert -n cattle-system

rm -f /var/lib/rancher/k3s/server/tls/dynamic-cert.json

Copy

重启 rancher-server

执行以下命令刷新参数

curl --insecure -sfL https://server-url/v3

Copy

重启 Rancher Server 容器

docker restart <rancher_server_id>

Copy

故障处理#

提示 CA 证书为空#

如果执行更新证书后出现如下错误提示,因为没有执行集群更新操作

 

解决方法

  1. 选择对应问题集群,然后查看浏览器的集群 ID,如下图:
  2. 执行命令 kubectl edit clusters <clusters_ID>
    • 如果 Rancher 是 HA 安装,直接在 local 集群中,通过rke生成的kube配置文件执行以上命令;
    • 如果 Rancher 是单容器运行,通过docker exec -ti <容器ID> bash进入容器中,然后执行apt install vim -y安装 vim 工具,然后再执行以上命令;
  3. 删除spec.rancherKubernetesEngineConfig.rotateCertificates层级下的配置参数进行修改:
  6. 输入:wq保存 yaml 文件后集群将自动更新,更新完成后再进行证书更新。

证书已过期导致无法连接 K8S#

如果集群证书已经过期,那么即使升级到Rancher v2.0.14、v2.1.9以及更高版本也无法轮换证书。rancher 是通过Agent去更新证书,如果证书过期将无法与Agent连接。

解决方法

可以手动设置节点的时间,把时间往后调整一些。因为Agent只与K8S master和Rancher Server通信,如果 Rancher Server 证书未过期,那就只需调整K8S master节点时间。

调整命令:

# 关闭ntp同步,不然时间会自动更新

timedatectl set-ntp false

# 修改节点时间

timedatectl set-time '2019-01-01 00:00:00'

Copy

然后再对 Rancher Server 进行升级,接着按照证书轮换步骤进行证书轮换,等到证书轮换完成后再把时间同步回来。

timedatectl set-ntp true

Copy

检查证书有效期

openssl x509 -in /etc/kubernetes/ssl/kube-apiserver.pem -noout -dates

Copy

Edit this page

卢奕霖-123
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
重要提醒 | 手动轮换Rancher Kubernetes集群的证书
cenmeng8703的博客
07-01 1005
Kubernetes集群通常使用ssl证书来加密通信,Rancher会自动为集群生成证书。在Rancher v2.0.14、v2.1.9之前的版本,Rancher配置集群的自动生成证书的有效期为1年,这意味着如果您在大约1年前使用这些版本创建了Rancher配置集群,那么您需要尽快开始轮换证书,否则证书过期后集群将进入错误状态。轮换证书是一次性操作,新生成的证书有效期为10年...
Rancher 证书过期处理方案
不忘初心,方得始终
02-28 921
rancher ui 突然不能访问, 日志可以看出证书已经过期。1. 进入 rancher server 容器,执行相关操作。3. 重启rancher server 容器。
rancher2.5.x证书到期解决办法
最新发布
qq_54738879的博客
05-11 211
进入rancher-server容器。重启rancherServer容器。
rancher2.5.0 版本证书过期处理
margu_168的博客
05-10 809
坑:通过docker 起2.5.0版本rancher遇到的,rancher证书的有效期只有一年,一年后web管理界面无法登录,登陆宿主机查看相应容器的日志发现以下报错。通过rancher界面可以很方便查看管理kubernetes中的一些资源,有助于一些对k8s不太熟悉的人排查业务问题(如开发),运维人员看个人爱好使用。据说rancher升级至2.5.8 及以上, 其内使用k3s 1.20 版本,已无此Bug,可自行测试。重启相应容器,web界面访问测试,检查是否有异常。容器内执行证书清理动作并刷新。
rancher界面无法登陆问题解决,登录超时;
lanhuayushen的博客
08-25 957
cat /dev/null > /var/lib/docker/container/容器id/容器id-json.log。docker system df # 查看清除之后docker占用空间减少了很多。du -hs /var/lib/docker/ #查看docker 磁盘空间;分析原因:该主机主要是docker容器,可能是docker 占用空间过大。df -h #查看磁盘使用情况 100%df -h #查看磁盘使用情况 92%du -hs # 查看文件夹 占用空间。
独立容器 Rancher Server 证书过期解决
weixin_45112997的博客
12-28 838
独立容器 Rancher Server 证书过期解决
docker部署rancher证书过期问题解决方案
04-24
在Docker环境中部署Rancher时,可能会遇到Rancher证书过期的问题,这将导致Kubernetes集群内部的通信出现异常。以下是一个详尽的解决方案,涵盖了问题的原因、异常现象以及具体的解决步骤。 **问题原因** Rancher在...
Rancher无法添加主机问题的解决方法
01-10
本文主要给大家介绍了关于如何解决Rancher无法添加主机的方法,下面话不多说了,来一起看看详细的介绍吧。 方法如下: Docker版本: 2.启动Docker: systemctl daemon-reload systemctl enable docker systemctl ...
保姆级搭建rancher教程
09-06
看着手册能自己搭建出来,保姆级教程,我自己一步一步写的,看完还不会的只能说你不适合运维,咱换行吧。你可以尝试去搞搞开发,开发写写代码就行。
Rancher-Cert-Manager:Rancher证书管理器的安装
04-08
Rancher证书经理 使用“让我们加密”为Rancher安装Cert Mgr 让我们加密K8s集群发行人的JetStack kubectl适用-f kubectl获取容器--namespace cert-manager 集群发行人 kubectl create -f staging_issuer.yaml ...
rancher 证书过期处理
liwench的博客
09-06 317
目录rancher 证书过期处理rancher v2.3版本修改rancher所在机器时间删除证书并重启rancher v2.4版本exec 进入到 rancher 服务内部重启 rancher-server执行以下命令刷新参数过期告警check_cert_time.pycheck_rancher_cert.sh添加计划任务参考文档rancher 证书过期处理 rancher部署的k8s集群只有...
k3s集群监控(Rancher)删除之空间(namespace)cattle-system一直为Terminating状态解决方案
iMonster
08-12 4878
故障现象 使用Rancher2.0添加了k3s集群进行Kubernetes的相关web管理。 因删除k3s集群监控服务:删除Rancher依赖的namespace(cattle-system),状态一直是Terminating。 root@k3s:~# kubectl get namespace NAME STATUS AGE kube-system Active 76d kube-public Active
rancher界面无法登陆问题解决
vah101的专栏
11-19 5738
1. 表现是rancher界面无法登陆,通过docker logs -f rancher发现日志中主要是etcd在报错,包含如下信息: etcdserver: mvcc: database space exceeded 2. 确定是由于etcd写满限额,导致的问题。需要登录到etcd所在的结点执行: docker exec -ti etcd sh 进入到etcd的容器,再执行,注意需要进入到每个etcd结点依次执行: #查看etcd的告警信息 etcdctl alarm list #获得版
Rancher(一) 踩坑记,删除Rancher的空间cattle-system,状态一直是Terminating
bacawa的博客
07-18 944
Rancher踩坑记,删除Rancher的空间cattle-system,状态一直是Terminating
超稳攻略!Rancher 2.3手动轮换证书,保护集群安全!
Rancher
12-01 3875
本文转自Rancher Labs 前 言 Rancher 2.3正式发布已经一年,第一批使用Rancher 2.3的用户可能会遇到Rancher Server证书过期,但是没有自动轮换的情况。这会导致Rancher Server无法启动,并且日志出现报错: 请注意: Rancher Server无法启动不会影响下游集群,下游集群依然可以通过kubeconfig去操作。 请注意: Rancher Server无法启动不会影响下游集群,下游集群依然可以通过kubeconfig去操作。 以上情况只会在doc
cattle-node-agent 证书校验失败
qn0007的博客
11-26 1717
通过ingress 1.瘦啊 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式 进行展示; 增加了 图片拖
rancher证书过期处理
weixin_39717172的博客
07-02 904
rancher证书过期 日志提示X509 报错,rancher证书过期导致 操作步骤 1、关闭ntp同步,不然时间会自动更新 timedatectl set-ntp false 2、 修改节点时间(修改到未过期时间) timedatectl set-time ‘2019-01-01 00:00:00’ 3、重启容器 3、进入容器备份/var/lib/rancher/k3s/server/tls目录 4、删除/var/lib/rancher/k3s/server/tls目录下所有证书 5、重启容器 ...
Rancher证书更新
weixin_51720711的博客
03-25 2775
一、环境 主机名 IP地址 操作系统 rancher版本 K8s-Master 192.168.10.236 Centos 7 2.5.9 二、更新证书 1、查看当前证书到期时间 2、进行证书轮换 [root@K8s-Master ~]# docker ps |grep rancher/rancher d581da2b7c4e rancher/rancher:v2.5.9 "entrypoint.sh" 2
Rancher 轮换证书Rancher 自身证书过期处理
无恋-zx的博客
01-25 1509
概述 本文所述 “证书” 分为 “Rancher 自身证书” 和 “Rancher 启动的 Kubernetes 的证书” 两种。 默认情况下,Kubernetes 集群所需要的证书Rancher 生成,如果出现证书过期,或证书泄露等情况,则需要使用新的证书轮换掉有问题的证书。轮换证书后,Kubernetes 组件将自动重新启动。 以下服务支持证书轮换: etcd kubelet kube-apiserver kube-proxy kube-scheduler kube-controller-m.
rancher 证书
10-14
您好,关于 Rancher 证书,您需要具体说明您想要了解的是哪方面的证书,以下是 Rancher 中常见的几种证书: 1. Rancher Server 证书Rancher Server 会自动生成一个默认的 SSL 证书,用于保护 Rancher Server 的 Web 界面。如果您需要使用自己的证书,可以在 Rancher Server 启动时通过参数 `--tls-cert` 和 `--tls-private-key` 指定证书和私钥文件。 2. Rancher Agent 证书Rancher Agent 会自动生成一个默认的 SSL 证书,用于与 Rancher Server 进行通信。如果您需要使用自己的证书,可以在创建主机时通过参数 `--engine-insecure-registry` 指定证书文件。 3. Kubernetes 证书:如果您使用 Rancher 部署 Kubernetes 集群,那么 Kubernetes 集群中也会涉及到一些证书,例如 etcd 证书、kube-apiserver 证书等。这些证书的生成和管理方式与普通 Kubernetes 集群相同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值