《Kubernets证书篇:kubernetes1.24.12证书时间过期》

已于 2023-04-07 10:29:55 修改
阅读量332 收藏
点赞数
文章标签: kubernetes containerd k8s1.24.12
于 2023-04-04 13:41:46 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/m0_37814112/article/details/129950905
版权
该文介绍了在K8S1.24.1版本的Ubuntu18.04环境中,如何模拟证书过期并进行处理。通过取消NTP同步,修改服务器时间来模拟证书过期状态,然后使用kubeadm工具检查和续签证书。提供了基于docker和containerd的控制平面Pod重启方法,并强调了更新后更新/root/.kube/config的重要性。
摘要由CSDN通过智能技术生成

一、报错信息

操作系统K8S版本内核版本
Ubuntu 18.04 LTS1.24.124.15.0-20-generic

说明:由于当前环境为新部署的K8S,所以这里通过修改Ubuntu操作系统的服务器时间来模拟证书过期。这里需要取消自动从互联网同步时间设置才能修改服务器时间,否则无法修改。

root@k8s-master-92:~# timedatectl set-ntp 0

报错信息,如下图所示:
在这里插入图片描述

说明:如上图报错则表明kubernetes证书过期了,需要重新续签证书。

二、查看证书过期时间

root@k8s-master-92:~# kubeadm certs check-expiration

如下图所示:
在这里插入图片描述

三、备份证书

注意:为了避免升级过程中出现问题,建议备份kubernetes的配置文件和证书文件。

root@k8s-master-92:~# \cp -arp /etc/kubernetes/ /etc/kubernetes_`date +%F

四、更新证书

4.1、基于docker

#!/bin/bash

echo 'backup certs'
\cp -arp /etc/kubernetes/ /etc/kubernetes_`date +%F`

echo "## Expiration before renewal ##"
kubeadm certs check-expiration

echo "## Renewing certificates managed by kubeadm ##"
kubeadm certs renew all

echo "## Restarting control plane pods managed by kubeadm ##"
docker ps -af 'name=k8s_POD_(kube-apiserver|kube-controller-manager|kube-scheduler|etcd)-*' -q | /usr/bin/xargs docker rm -f

echo "## Updating /root/.kube/config ##"
\cp /etc/kubernetes/admin.conf /root/.kube/config

echo "## Expiration after renewal ##"
kubeadm certs check-expiration

4.2、基于containerd

#!/bin/bash

echo 'backup certs'
\cp -arp /etc/kubernetes/ /etc/kubernetes_`date +%F`

echo "## Expiration before renewal ##"
kubeadm certs check-expiration

echo "## Renewing certificates managed by kubeadm ##"
kubeadm certs renew all

echo "## Restarting control plane pods managed by kubeadm ##"
crictl pods --namespace kube-system --name 'kube-scheduler-*|kube-controller-manager-*|kube-apiserver-*|etcd-*' -q | /usr/bin/xargs crictl rmp -f

echo "## Updating /root/.kube/config ##"
\cp /etc/kubernetes/admin.conf /root/.kube/config

echo "## Expiration after renewal ##"
kubeadm certs check-expiration

总结:整理不易,如果对你有帮助,可否点赞关注一下?

更多详细内容请参考:企业级K8s集群运维实战

东城绝神
关注
Kubernetes部署Ubuntu20.04基于containerd部署kubernetes1.24.12单master集群》
东城绝神
03-30 1029
《Kurnetes部署Ubuntu20.04df基于containerd部署kubernetes1.24.12单master集群》
Kubernetes部署Ubuntu20.04基于外部etcd+部署kubernetes1.24.17集群(多主多从)》
东城绝神
08-16 1046
Kubernetes部署Ubuntu20.04基于外部etcd+部署kubernetes1.24.16集群(多主多从)》
kubeadm更新证书(1.23.4版本)
运维那些事儿
04-14 3754
1、查看证书到期时间 kubeadm certs check-expiration 1.1、输出如下内容 [root@master pki]# kubeadm certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get c
kubernetes证书过期处理
07-24 2127
一、过期信息 # kubectl get pod Unable to connect to the server: x509: certificate has expired or is not yet valid 二、处理etcd证书 2.1、查看过期信息 # cd /etc/etcd/s...
【云原生】Kubernetes----证书过期处理办法
最新发布
hy199707的博客
06-19 2191
随着云计算技术的飞速发展,Kubernetes已成为企业构建、扩展和管理容器化应用程序的首选平台。然而,随着集群的持续运行,在企业中经常会遇到一个问题——Kubernetes集群的证书过期。这个问题不仅影响集群的稳定性,还可能带来安全风险。本文将深入探讨Kubernetes证书过期的问题、影响以及解决方案
关于kuberntes证书过期的解决方案
qq_51574197的博客
09-08 225
关于kuberntes证书过期的解决方案方案一确认一下所有证书过期时间一定要先备份旧的家目录下的config文件重命名,拷贝新的admin.conf到家目录下重启etcd、scheduler、controller、apiserver方案二 今天刚接收公司的k8s测试集群,就接到一个锅:证书过期了。心里奔腾了一万个马xxxxxx。话说活儿还得自己干呐 方案一 /etc/kubernetes/pki/apiserver.crt #1年有效期 /etc/kubernetes/pki
kubernetes(1.23)证书过期如何续期
老段工作室
04-27 2695
通过kubeadm安装的kubernetes集群各个组件所使用证书的期限为1年,本实验练习的是到期之后如何续期。
kubeadm更新证书,基于k8s 1.24.2版本
zhsh000的博客
07-28 1097
kubeadm更新证书,基于k8s 1.24.2版本
Kubernetes部署Ubuntu20.04基于containerd部署kubernetes1.24.17集群(多主多从)》
东城绝神
08-28 754
Kubernetes部署Ubuntu20.04基于containerd部署kubernetes1.24.12集群(多主多从)》
Kubernetes部署Ubuntu20.04基于containerd二进制部署K8S 1.24.12集群(多主多从)》
东城绝神
04-14 699
Kubernetes部署Ubuntu20.04基于containerd二进制部署K8S 1.24.12集群(多主多从)》
Kubernetes部署Ubuntu18.04基于containerd部署kubernetes1.24.12单master集群》
东城绝神
04-03 649
Kubernetes部署Ubuntu18.04基于containerd部署kubernetes1.24.12单master集群》
k8s证书过期,更新证书后,没有bootstrap-kubelet.conf文件
weixin_43848982的博客
09-21 530
执行kubeadm token create --print-join-command命令。问题出现原因:证书过期,更新证书后,没有bootstrap-kubelet.conf文件。手动创建/etc/kubernetes/bootstrap-kubelet.conf文件。命令可以创建bootstrap-kubelet.conf文件。该命令是针对 Kubernetes 1.24 及更高版本的。可以通过kubectl cluster-info命令查看。--token 后的值就是需要替换的token了。
Kubernets证书kubernetes1.24.12证书修改时间限制》
东城绝神
04-04 567
Kubernets证书kubernetes1.24.12证书修改时间限制》
ubuntu使用ngnix的配置https证书查看证书是否过期
xyh的博客
07-21 5431
1.如果服务器证书是通过nginx管理的,直接替换证书不会生效,需要重新加载nginx配置文件(在nginx的安装路径下执行./nginx -s reload)即可,无需重启nginx服务。 2.替换完证书可以查看域名下的证书有效期时间,以百度的域名为例echo | openssl s_client -servername baidu.com -connect baidu.com:443 2&g...
kubeadm kubernetes集群证书过期的处理方法
洒满阳光的午后的博客
11-16 966
动态证书重载目前还不被所有组件和证书支持,所有这项操作是必须的。正确的重启方法是临时将清单文件从 /etc/kubernetes/manifests/ 移除并等待 20 秒(参考 KubeletConfiguration 结构 中的fileCheckFrequency 值)。此时kubelet 会自动终止这些pod。pod终止后再将文件移回去,kubelet将重新创建这些pod。
K8S各种各样的证书介绍
Vic的博客
10-28 3175
例如,所有etcd server证书需要是同一个CA签署的,所有的etcd peer证书也需要是同一个CA签署的,而一个etcd server证书和一个etcd peer证书,完全可以是两个CA机构签署的,彼此没有任何关系。其实实际上,使用一套证书(都使用一套CA来签署)一样可以搭建出K8S,一样可以上生产,但是理清这些证书的关系,在遇到因为证书错误,请求被拒绝的现象的时候,不至于无从下手,而且如果没有搞清证书之间的关系,在维护或者解决问题的时候,贸然更换了证书,弄不好会把整个系统搞瘫。
k8s1.24 FAQ
SharkVeryBusy的博客
05-17 1514
k8s部分问题处理方法
k8s 1.24 版本以后获取永不过期token?
Zzzzzz的博客
10-11 3336
一个服务操作多个k8s集群, 这个时候就会出现授权问题。k8s 1.24版本之前sa账号产生的token在secret中是永久不过期的。在1.24版本以后secret将不再保留token.而此时容器中的token是只有一个小时就过期的,这对于一个服务来操作多个k8s集群基本就不可能了。
Ubuntu 21.10 离线安装 Kubernetes 1.24.3 指南
"该资源提供了一种在Ubuntu-21.10-live-server环境下离线安装Kubernetesk8s1.24.3的详细步骤,特别适合于网络受限的情况。" 在云原生架构中,Kubernetesk8s)作为一个流行的容器编排平台,对于构建和管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

东城绝神

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值