《Kubernets证书篇:kubernetes1.24.12证书时间过期》

已于 2023-04-07 10:29:55 修改
阅读量329 收藏
点赞数
文章标签: kubernetes containerd k8s1.24.12
于 2023-04-04 13:41:46 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/m0_37814112/article/details/129950905
版权
该文介绍了在K8S1.24.1版本的Ubuntu18.04环境中,如何模拟证书过期并进行处理。通过取消NTP同步,修改服务器时间来模拟证书过期状态,然后使用kubeadm工具检查和续签证书。提供了基于docker和containerd的控制平面Pod重启方法,并强调了更新后更新/root/.kube/config的重要性。
摘要由CSDN通过智能技术生成

一、报错信息

操作系统K8S版本内核版本
Ubuntu 18.04 LTS1.24.124.15.0-20-generic

说明:由于当前环境为新部署的K8S,所以这里通过修改Ubuntu操作系统的服务器时间来模拟证书过期。这里需要取消自动从互联网同步时间设置才能修改服务器时间,否则无法修改。

root@k8s-master-92:~# timedatectl set-ntp 0

报错信息,如下图所示:
在这里插入图片描述

说明:如上图报错则表明kubernetes证书过期了,需要重新续签证书。

二、查看证书过期时间

root@k8s-master-92:~# kubeadm certs check-expiration

如下图所示:
在这里插入图片描述

三、备份证书

注意:为了避免升级过程中出现问题,建议备份kubernetes的配置文件和证书文件。

root@k8s-master-92:~# \cp -arp /etc/kubernetes/ /etc/kubernetes_`date +%F

四、更新证书

4.1、基于docker

#!/bin/bash

echo 'backup certs'
\cp -arp /etc/kubernetes/ /etc/kubernetes_`date +%F`

echo "## Expiration before renewal ##"
kubeadm certs check-expiration

echo "## Renewing certificates managed by kubeadm ##"
kubeadm certs renew all

echo "## Restarting control plane pods managed by kubeadm ##"
docker ps -af 'name=k8s_POD_(kube-apiserver|kube-controller-manager|kube-scheduler|etcd)-*' -q | /usr/bin/xargs docker rm -f

echo "## Updating /root/.kube/config ##"
\cp /etc/kubernetes/admin.conf /root/.kube/config

echo "## Expiration after renewal ##"
kubeadm certs check-expiration

4.2、基于containerd

#!/bin/bash

echo 'backup certs'
\cp -arp /etc/kubernetes/ /etc/kubernetes_`date +%F`

echo "## Expiration before renewal ##"
kubeadm certs check-expiration

echo "## Renewing certificates managed by kubeadm ##"
kubeadm certs renew all

echo "## Restarting control plane pods managed by kubeadm ##"
crictl pods --namespace kube-system --name 'kube-scheduler-*|kube-controller-manager-*|kube-apiserver-*|etcd-*' -q | /usr/bin/xargs crictl rmp -f

echo "## Updating /root/.kube/config ##"
\cp /etc/kubernetes/admin.conf /root/.kube/config

echo "## Expiration after renewal ##"
kubeadm certs check-expiration

总结:整理不易,如果对你有帮助,可否点赞关注一下?

更多详细内容请参考:企业级K8s集群运维实战

东城绝神
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
kubernetes 证书到期续期
Not_a_penny_to_name的博客
10-28 275
kubernetes 证书续期 好久没用过以前搭建的集群了,今天想用的时候发现证书到期了 kubeadm 管理集群证书 通过命令kubeadm alpha certs check-expiration 查看集群所有证书的到期时间,发现全部过期了。 通过kubeadm alpha certs renew all 命令将所有集群续期一年。 再次通过命令kubeadm alpha certs check-expiration 查看集群所有证书的到期时间 ,发现已经续期1年。 使用kubectl ge
kubernetes证书
脑声常谈
04-18 599
kubeadm init 生成私钥与证书 1,自建CA,生成ca.crt 和cd,key 2,apiserver 的私钥与公钥证书 3,apiserver 访问Kubelet使用的客户端私钥与证书 4,sa.key 和sa.pub 5,etcd相关私钥和数字证书 路径:/etc/kubernete/pki [root@k8s-master pki]# pwd /etc/kubernetes/pk...
kubeadm更新证书,基于k8s 1.24.2版本
zhsh000的博客
07-28 1095
kubeadm更新证书,基于k8s 1.24.2版本
kubeadm更新证书(1.23.4版本)
运维那些事儿
04-14 3740
1、查看证书到期时间 kubeadm certs check-expiration 1.1、输出如下内容 [root@master pki]# kubeadm certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get c
k8s证书过期,更新证书后,没有bootstrap-kubelet.conf文件
最新发布
weixin_43848982的博客
09-21 509
执行kubeadm token create --print-join-command命令。问题出现原因:证书过期,更新证书后,没有bootstrap-kubelet.conf文件。手动创建/etc/kubernetes/bootstrap-kubelet.conf文件。命令可以创建bootstrap-kubelet.conf文件。该命令是针对 Kubernetes 1.24 及更高版本的。可以通过kubectl cluster-info命令查看。--token 后的值就是需要替换的token了。
Kubernets证书kubernetes1.24.12证书修改时间限制》
东城绝神
04-04 551
Kubernets证书kubernetes1.24.12证书修改时间限制》
ubuntu使用ngnix的配置https证书查看证书是否过期
xyh的博客
07-21 5410
1.如果服务器证书是通过nginx管理的,直接替换证书不会生效,需要重新加载nginx配置文件(在nginx的安装路径下执行./nginx -s reload)即可,无需重启nginx服务。 2.替换完证书可以查看域名下的证书有效期时间,以百度的域名为例echo | openssl s_client -servername baidu.com -connect baidu.com:443 2&g...
kubeadm kubernetes集群证书过期的处理方法
洒满阳光的午后的博客
11-16 964
动态证书重载目前还不被所有组件和证书支持,所有这项操作是必须的。正确的重启方法是临时将清单文件从 /etc/kubernetes/manifests/ 移除并等待 20 秒(参考 KubeletConfiguration 结构 中的fileCheckFrequency 值)。此时kubelet 会自动终止这些pod。pod终止后再将文件移回去,kubelet将重新创建这些pod。
K8S各种各样的证书介绍
Vic的博客
10-28 3171
例如,所有etcd server证书需要是同一个CA签署的,所有的etcd peer证书也需要是同一个CA签署的,而一个etcd server证书和一个etcd peer证书,完全可以是两个CA机构签署的,彼此没有任何关系。其实实际上,使用一套证书(都使用一套CA来签署)一样可以搭建出K8S,一样可以上生产,但是理清这些证书的关系,在遇到因为证书错误,请求被拒绝的现象的时候,不至于无从下手,而且如果没有搞清证书之间的关系,在维护或者解决问题的时候,贸然更换了证书,弄不好会把整个系统搞瘫。
Kubernetes部署:Ubuntu20.04基于containerd部署kubernetes1.24.12单master集群》
东城绝神
03-30 1021
《Kurnetes部署:Ubuntu20.04df基于containerd部署kubernetes1.24.12单master集群》
Kubernetes部署:Ubuntu20.04基于外部etcd+部署kubernetes1.24.17集群(多主多从)》
东城绝神
08-16 1040
Kubernetes部署:Ubuntu20.04基于外部etcd+部署kubernetes1.24.16集群(多主多从)》
Kubernetes部署:Ubuntu20.04基于containerd部署kubernetes1.24.17集群(多主多从)》
东城绝神
08-28 746
Kubernetes部署:Ubuntu20.04基于containerd部署kubernetes1.24.12集群(多主多从)》
Kubernetes部署:Ubuntu20.04基于containerd二进制部署K8S 1.24.12集群(多主多从)》
东城绝神
04-14 691
Kubernetes部署:Ubuntu20.04基于containerd二进制部署K8S 1.24.12集群(多主多从)》
Kubernetes部署:Ubuntu18.04基于containerd部署kubernetes1.24.12单master集群》
东城绝神
04-03 643
Kubernetes部署:Ubuntu18.04基于containerd部署kubernetes1.24.12单master集群》
k8s1.24 FAQ
SharkVeryBusy的博客
05-17 1509
k8s部分问题处理方法
k8s 1.24 版本以后获取永不过期token?
Zzzzzz的博客
10-11 3320
一个服务操作多个k8s集群, 这个时候就会出现授权问题。k8s 1.24版本之前sa账号产生的token在secret中是永久不过期的。在1.24版本以后secret将不再保留token.而此时容器中的token是只有一个小时就过期的,这对于一个服务来操作多个k8s集群基本就不可能了。
kubernetes(1.23)证书过期如何续期
老段工作室
04-27 2684
通过kubeadm安装的kubernetes集群各个组件所使用证书的期限为1年,本实验练习的是到期之后如何续期。
二进制 Kubernetes 查看证书过期时间
qianyidui的博客
04-11 719
首先找到配置文件里面的证书然后base64转码 echo "LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUQ1RENDQXN5Z0F3SUJBZ0lVWlRMM1pGWXJEK2htckZHKzJTN1d5VjcxQnJnd0RRWUpLb1pJaHZjTkFRRUwKQlFBd2R6RUxNQWtHQTFVRUJoTUNRMDR4RURBT0JnTlZCQWdUQjBKbGFXcHBibWN4RURBT0JnTlZCQWNUQjBKbAphV3BwYm1jeEV6QV
kubernetes-证书过期,重建证书
kozazyh的专栏
12-06 4123
kubernetes 版本:1.9.x,安装方式,使用二进制文件,手工安装(参考:https://github.com/opsnull/follow-me-install-kubernetes-cluster/tree/v1.6.2); 由于当初安装kubernetes,制作证书的时候,设置了证书的有效期只有1年。到一年后,所有节点都变为noready状态。检查kubelet服务的日志,提示认证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

东城绝神

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值