kubernetes之证书更新

已于 2022-05-10 15:48:53 修改
阅读量533 收藏 1
点赞数
分类专栏: kubernetes 文章标签: kubernetes 容器
于 2022-05-09 14:59:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37642477/article/details/124666466
版权

证书更新

kubernetes的证书存放在/etc/kubernetes/pki目录下,使用kubeadm alpha certs check-expiration,可查看证书有效时间

可以看出apiserver等证书有效期为一年,ca等证书有效期是10年.

重新编译kubeadm

部署go环境

打开Go下载 - Go语言中文网 - Golang中文社区(https://studygolang.com/dl)网站,下载一个最新版的。

或者linux服务器上执行

$ wget https://studygolang.com/dl/golang/go1.18.1.linux-amd64.tar.gz
$ tar -zxvf go1.18.1.linux-amd64.tar.gz -C /usr/local/
$ cp /usr/local/go/bin/go  /usr/local/bin/
$ cp /usr/local/go/bin/gofmt /usr/local/bin/
$ chown a+x /usr/local/bin/go
$ chown a+x /usr/local/bin/gofmt
#测试安装是否正常
$ go version
go version go1.18.1 linux/amd64

下载对应kubernetes源码

查看安装kubernetes版本

$ kubectl version
Client Version: version.Info{Major:"1", Minor:"18", GitVersion:"v1.18.6", GitCommit:"dff82dc0de47299ab66c83c626e08b245ab19037", GitTreeState:"clean", BuildDate:"2020-07-15T16:58:53Z", GoVersion:"go1.13.9", Compiler:"gc", Platform:"linux/amd64"}
Server Version: version.Info{Major:"1", Minor:"18", GitVersion:"v1.18.6", GitCommit:"dff82dc0de47299ab66c83c626e08b245ab19037", GitTreeState:"clean", BuildDate:"2020-07-15T16:51:04Z", GoVersion:"go1.13.9", Compiler:"gc", Platform:"linux/amd64"}

kuberneted版本为1.18.6,所以下载源码,下载地址https://github.com/kubernetes/kubernetes


$ unzip kubernetes-1.18.6.zip
$ cd kubernetes-1.18.6
#修改文件
$ vim ./cmd/kubeadm/app/constants/constants.go
const (
......
        // CertificateValidity defines the validity for all the signed certificates generated by kubeadm
        CertificateValidity = time.Hour * 24 * 365 * 100
.......

$ vim ./staging/src/k8s.io/client-go/util/cert/cert.go
func NewSelfSignedCACert(cfg Config, key crypto.Signer) (*x509.Certificate, error) {
      ....
                NotAfter:              now.Add(duration365d * 100).UTC(),
      ....
}
#编译文件
$ make WHAT=cmd/kubeadm GOFLAGS=-v
#编译完成后生成的kubeadm在/opt/kubernetes-1.18.6/_output/bin目录下
$  ll /opt/kubernetes-1.18.6/_output/bin/
total 65656
-rwxr-xr-x. 1 root root  6115328 May 10 11:12 conversion-gen
-rwxr-xr-x. 1 root root  5849088 May 10 11:11 deepcopy-gen
-rwxr-xr-x. 1 root root  5840896 May 10 11:12 defaulter-gen
-rwxr-xr-x. 1 root root  3388281 May 10 11:11 go2make
-rwxr-xr-x. 1 root root  1744896 May 10 11:14 go-bindata
-rwxr-xr-x. 1 root root 34365440 May 10 14:31 kubeadm
-rwxr-xr-x. 1 root root  9924608 May 10 11:13 openapi-gen

更新证书

$ mv  /usr/bin/kubeadm /usr/bin/kubeadmold
$ cp -R /etc/kubernetes/pki /etc/kubernetes/pkiold
#将重新编译好的kubeadm文件上传至/usr/bin/目录下,授权。
#更新证书
$ kubeadm alpha certs renew all
#再次查看证书信息
$ kubeadm alpha certs check-expiration

吉松松
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
适用于所有Go程序的自动HTTPS:完全托管的TLS证书发行和更新-Golang开发
05-26
简便而强大的TLS自动化在一个功能强大且易于使用的库中,Caddy Web Server Caddy的自动TLS功能所使用的库(现已用于您自己的Go程序)与该库相同! CertMagic是最成熟,最强大,最简便且功能强大的TLS自动化功能,它与Caddy Web Server Caddy的automagic TLS功能(现在用于您自己的Go程序)所使用的库相同,位于一个功能强大且易于使用的库中! CertMagic是Go…甚至是迄今为止最成熟,最强大,功能最强大的ACME客户端集成。 使用CertMagic,您可以在Go应用程序中添加一行,以通过TLS安全地进行服务,而无需接触证书。 代替:// //纯文本HTTP,总值:nauseated_face:http.ListenAndServe(“:80”,mux)使用CertM
Kubenetes更新证书
xxzblog的专栏
03-27 306
Kubenetes更新证书
kubernetes certs update 【证书更新
爱死亡机器人
07-25 859
查看 kubelet是否支持证书自动轮换,默认轮换的证书位于目录。查看集群指定证书位置。备份 kubelet。
kubernetes已经过期的证书更新
一个行走江湖的人
07-07 266
【代码】已经过期的证书更新
更新Kubernetes集群证书
lyyao09的博客
07-27 1078
Kubernetes集群证书的使用寿命为一年。如果Kubernetes集群证书Kubernetes master节点上过期,则kubelet服务将失败。使用kubectl命令,例如kubectel get pod或kubectl exec -it container_name bash,将导致类似的消息: Unable to connect to the server: x509: certif...
kubernetes v1.19.2 证书过期更新
RSQ博客
05-12 1134
证书过期报错 [root@k8s-master-ant ~]# kubectl get node Unable to connect to the server: x509: certificate has expired or is not yet valid: current time 2021-05-12T10:22:38+08:00 is after 2021-05-11T12:02:22Z 解决办法: 1、生成集群的配置文件(集群部署时最好留的有kubeadm.yaml,否则改起来稍微麻烦些)
Kubernetes集群更换证书(正常更新方法、和更新证书为99年)
m0_59308369的博客
12-14 5950
今天使用k8s集群发现报错。查看kubelet状态,发现无法启动, 查看docker服务,发现api-server也没用启动enabled;3s ago查看日志 ,发现报错找不到 bootstrap-kubelet.conf。
Kubernetes集群更新证书操作
牧歌的技术小站
11-23 160
k8s集群的证书有效期是一年,到期后需要重新更新,否则无法启动和操作。然后也要替换下面的文件。
k8s- kubernetes证书过期替换之kubeadm命令 certs renew all方式
liuyij3430448的博客
04-27 5207
**k8s集群之间的访问会使用到证书,如果使用kubeadm搭建的集群,默认CA证书的有效期为10年,其他组件访问证书的有效期为1年。如果过期后没有更新证书可能会引起k8s集群的不可用**
k8s相关证书更新
weixin_42323738的博客
03-13 1017
k8s证书更新
kubernetes 证书在线更新
不忘初心,方得始终
07-19 682
各个证书的过期时间 /etc/kubernetes/pki/apiserver.crt #1年有效期 /etc/kubernetes/pki/front-proxy-ca.crt #10年有效期 /etc/kubernetes/pki/ca.crt #10年有效期 /etc/kubernetes/pki/...
云原生|kubernetes|kubernetes集群升级+证书更新(Ubuntu-18.04+kubeadm)
zsk_john的技术分享专用博客
12-13 4866
一般情况下,不管是kubernetes集群还是什么其它的集群,还是什么tomcat,什么elasticsearch,ssh等等各类软件,当然也包括各个操作系统,比如centos7.Ubuntu,debian等等所有软件类,规避各种各样的安全漏洞基本都是通过升级版本的方式来完成的。 多说一句,在软件制作者的角度来说,升级软件版本的动力一个是安全漏洞的压力,一个是更多的,更 新的功能以及更美观的软件界面。在软件使用者的角度来说,升级软件版本的动力第一个是安全漏洞,其次才是更 新的功能,最后才是美观的软件界
k8s证书更新
kali_yao的博客
02-21 6506
1.故障现象 k8s安装一年后证书显示过期。证书未自动续期。 2.更新过程 一下操作需到所有master节点操作 下载kubeadm 一般情况下,k8s创建的集群节点上的/usr/bin/文件夹下会存在kubeadm二进制文件,如果发现master节点上没有kubeadm,可以从官方下载。以amd64架构1.16.9版本的kubeadm为例子,可以通过curl -L --remote-name-all https://storage.googleapis.com/kubernetes-r
k8s kubesphere3.1.1集群证书过期与更新
Kevin
10-31 867
k8s 集群证书更新
[kubernetes]step3-kubeadm更新证书有效期
爷来辣的博客
01-22 1802
kubeadm更新kubernetes集群证书 接着上面阿里云上的kubernetes集群,一步步搭建服务 因为kubernetes要上云测试了。不想到时候突然因为证书导致服务挂掉,挨批。就把证书更新一下,感觉10年差不多了。 查看证书过期时间 cd /etc/kubernetes/pki ls | grep crt | xargs -I {} openssl x509 -text -in {} ...
kubernetes证书安装
bee-factory
04-12 671
创建 CA 证书和秘钥kubernetes 系统各组件需要使用 TLS 证书对通信进行加密,本文档使用 CloudFlare 的 PKI 工具集 cfssl 来生成 Certificate Authority (CA) 证书和秘钥文件,CA 是自签名的证书,用来签名后续创建的其它 TLS 证书。安装 CFSSL$ wget https://pkg.cfssl.org/R1.2/cfssl_linu...
centos7二进制安装kubernetes1.12添加证书配置
ciqingloveless的博客
09-05 2198
kubernetes基础安装请看以下文档 https://blog.csdn.net/ciqingloveless/article/details/82348490 其中证书配置部分可以查看 https://blog.csdn.net/ciqingloveless/article/details/81741988 一 证书配置 1 配置Kubernetes CNI(所以节点) ...
kubernetes学习---安装ETCD服务
weixin_60712169的博客
03-07 269
kubernetes学习---安装ETCD服务
k8s环境prometheus operator监控集群外资源
最新发布
mingqing的博客
04-30 1059
参考网站 k8s环境添加其他节点 参考文档 文档一 文档二 基于prometheus operator 引入外部exporter参考文档 rabbitmq 引入外部exporter参考文档 windows exporte 监控 K8s 集群外服务的两种方式 k8s环境prometheus operator添加node-exporter 方式一:通过 ServiceMonitor 方式 创建 Service 和 ServiceMonitor 文件名为 external-node.yaml /root/test

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值