【k8s集群证书续签】

最新推荐文章于 2023-11-06 20:16:00 发布
最新推荐文章于 2023-11-06 20:16:00 发布
阅读量245 收藏
点赞数
文章标签: kubernetes linux docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59424504/article/details/131018434
版权

k8s证书一般分为两套:apiserver组件和etcd

假如按照角色来区分,证书分为管理节点和工作节点

- 管理节点:如果是kubeadm部署的则自动生成,如果是二进制部署一般由cfssl或者openssl生成

- 工作节点:工作节点主要是指kubelet和kube-proxy连接apiserver所需的客户端证书,kubelet证书由controller-manager组件自动颁发

证书过期会导致集群无法正常工作,日志会出证书过期错误(x509:certificate has expired or is not  yet valid)

kubeadm部署方式续签:

#查看证书有效期

kubeadm certs check-expiration

#证书由kukeadm生成,客户端证书及根证书都是在kubeadm源代码写死的,想更改有效期可以更改源码中的证书有效期

#上一部分是客户端证书的名称、到期时间、有效期、证书颁发机构

#下面部分是根证书颁发机构、到期时间、有效期等,但几乎不会变换的所以有效期10年, 

#备份

cp -r /etc/kubernetes/ /etc/kubernetes.bak

cp -r /var/lib/etcd /var/lib/etcd.bak

#续签所有证书 

kubeadm certs renew all 

 #重启生效证书 kubeadm部署的组件都属静态pod部署的 使用delete命令删除即可

kubectl delete pod kube-apiserver kube-controller-manager kube-scheduler etcd -n kube-system

 #再次查看kubeadm certs check-expiration 是否有变化

#kubectl使用新配置文件

cp -a  /etc/kubernetes/admin.conf  $HOME/.kube/config

#查看证书另一种方式 (需要进入证书目录)

openssl x509 -in apiserver.crt -noout -dates

#有多master节点可以直接拷贝过去覆盖或者重复以上操作

duhh0324
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8S集群证书监控ssl-exporter监控模板
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
kubernetes集群证书一年后过期,如何续期
小楼一夜听春雨,深巷明朝卖杏花
02-25 1889
模拟证书过期 由kubeadm部署的集群,所生成的证书证书有效期为一年,过期之后集群就不能再次使用了,我们可以对证书进行续期,这样集群就可以继续使用。可以通过如下命令查看具体过期时间: kubeadm alpha certs check-expiration 这里显示证书在2021年7月5日过期,然后把所有节点的系统时间调整到 2022年10月1日: 所有节点的时间都要调整。 然后在master(vms71上)执行kubectl命令: [root@vms71 ~]# kubectl
Kubernetes Kubeadm Kubelet 证书自动续签
Vic的博客
10-28 1480
• 工作节点:工作节点主要是指kubelet连接apiserver所需的客户端证书,这个证书由controller-manager组件自动颁发,默认是一年,如果到期,kubelet将无法使用过期的证书连接apiserver,从而导致无法正常工作,日志会给出证书过期错误(x509: certificate has expired or is not yet valid)(工作节点容易忽略掉证书有效期)容易过期的是ca证书派发出来的证书文件,这里的过期时间是客户端的证书。因为访问控制就是基于证书进行授权的。
Kubernetes kubeadm 证书到期,更新证书
大漠知秋的加油站
08-27 8007
Kubernetes kubeadm 证书到期,更新证书 版本 服务 版本 CentOS 7.8 Kubernetes 1.18.x 证书问题   可能很多人在一开始学习 k8s 的时候,没有注意过证书的问题,在使用 kubeadm 安装 k8s 单机/集群的过程中就是一路往下,如果是学习或者测试使用,使用完毕之后就把虚拟机或者临时云服务器删除了,那也不会发现证书问题。如果这个 k8s 环境要使用 1 年以上,就会碰到这个问题,因为默认证书有效期为 1 年,CA 根证书是 10 年:
kubeadm管理证书续签证书
weixin_42562106的博客
06-29 2982
可用于检查证书过期时间: kubeadm alpha certs check-expiration kubeadm alpha certs 命令详解: Available Commands: certificate-key 生成证书和key check-expiration 检测证书过期时间 renew 续订Kubernetes集群证书 kubeadm alpha certs命令仅支持v1.15及其以上的版本。 手动续订apiserver的证书-apiser
实战:k8s证书续签-2023.6.19(测试成功)
weixin_39246554的博客
06-23 3109
k8s集群核心的证书有2套,还有1套非核心的(即使出问题也问题不大)。⚠️ 如果是kubeadm搭建的k8s集群,其有效期为1年。二进制搭建可以指定证书过期时间的。
解决K8S证书过期步骤(续一年)
weixin_41914251的博客
06-25 1747
K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/pki 路径下,kubeadm 生成的证书默认有效为 1 年,因此需要定时更新证书,否则证书到期会导致整个集群不可用。本篇文章主要介绍如何通过 kubeadm 重新生成证书。有其他的办法可以更长时间的延长证书。8、替换kubeconfig。9、查看证书时间(续一年)7、重启kubelet。4、重新生成全部证书。6、生成所有配置文件。
k8s证书续期:使用Cert Manager为K8S集群证书续期操作示例
学亮编程手记
11-06 305
安装 Cert Manager在 Kubernetes 集群中安装 Cert Manager。可以使用 Helm 或 YAML 文件进行安装。创建 Issuer 或 ClusterIssuer创建 Issuer 或 ClusterIssuer 对象以连接到证书颁发机构(CA)。ClusterIssuer 是一个全局对象,而 Issuer 是命名空间相关的。
二进制部署的K8s集群,如何对到期证书更新
时光旅行者
09-12 3296
一年前搭建的k8s集群,突然不能够正常访问,出现502错误,首先怀疑容器没起来,先对问题进行排查,排查响应的容器有没有正常启动,状态一切正常,访问容器地址也可以正常访问,于是访问node port地址,发现无法正常访问,确定问题出现在svc中。 由于其他的应用、系统也无法提供正常的服务,应该是k8s的问题,非单个应用的原因。查看服务状态,kubectl describe svc xxx,endp...
kubernetes(1.23)证书过期如何续期
老段工作室
04-27 2419
通过kubeadm安装的kubernetes集群各个组件所使用证书的期限为1年,本实验练习的是到期之后如何续期。
k8s kubeadm高可用集群证书续期
ApexPredator的博客
06-14 2119
k8s kubeadm高可用集群证书续期
k8s搭建Nacos集群
05-26
k8s搭建Nacos集群,制作Java运行容器镜像,再制作Nacos镜像 Nacos版本是:2.1.0 说明: 如果想搭建:2.2.0也根据文档步骤操作即可
k8s安装Nacos集群
05-21
k8s搭建Nacos集群,制作Nacos镜像 Nacos版本是:2.0.2
k8s集群环境搭建资源
10-27
k8s集群环境搭建资源
k8s证书修改为10年文件
06-13
k8s证书修改为10年文件
k8s- kubernetes证书过期替换之kubeadm命令 certs renew all方式
liuyij3430448的博客
04-27 5295
**k8s集群之间的访问会使用到证书,如果使用kubeadm搭建的集群,默认CA证书的有效期为10年,其他组件访问证书的有效期为1年。如果过期后没有更新证书可能会引起k8s集群的不可用**
k8skubernetes证书续期
qq_40954652的博客
03-02 1463
简介 kubernetes集群上kubeadm 安装的证书默认为 1 年,注意原证书文件必须保留在服务器上才能做延期操作,否则就会重新生成,集群可能无法恢复,这里在证书快到期之前进行续期操作。 具体操作 查看证书到期时间 一般k8s证书文件都在/etc/kubernetes/pki/下 openssl x509 -noout -text -in /etc/kubernetes/pki/apiserver.crt 多个证书一起查看到期时间 for item in `find /etc/kubernetes/
如何使用 Cert-Manager 快速实现 Kubernetes 应用域名证书自动化续签
easylife206的专栏
05-19 2095
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !​简介Cert-Manager[1]是一款用于 Kubernetes 集群中自动化管理 TLS 证书的开源工具,它使用了 Kubernetes 的自定义资源定义(CRD)机制,让证书的创建、更新和删除变得非常容易。设计理念Cert-Manager 是将 TLS 证书视为一种资源,就像 Pod、Service 和 De...
K8S集群证书续期:使用 kubeadm certs renew 命令来更新证书
最新发布
学亮编程手记
11-06 1087
如果你对此类证书的更新没有特殊要求, 并且定期执行 Kubernetes 版本升级(每次升级之间的间隔时间少于 1 年), 则 kubeadm 将确保你的集群保持最新状态并保持合理的安全性。随着 kubernetes 集群的使用,某一天证书过期了,此时 kubernetes 集群将无法正常使用,比如:kubectl 命令执行会产生错误(为防止更新证书等操作失败,关键操作前一定要进行备份。在实际中,如果遇到证书过期,则需手动更新证书,通过。很明显,这是证书过期导致,只需更新证书即可。命令,查看证书过期时间。
k8s集群如何更新证书
06-11
要更新 Kubernetes 集群中的证书,需要执行以下步骤: 1. 通过 kubeadm 工具备份 Kubernetes 集群配置:`sudo kubeadm config view > kubeadm.yaml` 2. 以备份的方式更新证书:`sudo kubeadm alpha certs renew all --config kubeadm.yaml` 3. 更新完证书后,需要重新启动 Kubernetes 组件:`sudo systemctl restart kubelet` 4. 确认证书更新成功:`kubectl get certificates` 请注意,在更新证书之前,应该先备份 Kubernetes 集群配置文件和证书以便出现问题时可以进行回滚操作。同时,还需要确保所有节点的时间同步,否则证书更新会失败。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值