k8s Client certificate is about to expire 客户端访问 APIServer 证书快过期

最新推荐文章于 2024-06-11 15:29:22 发布
最新推荐文章于 2024-06-11 15:29:22 发布
阅读量3.6k 收藏 1
点赞数 2
分类专栏: Kubernetes prometheus 文章标签: kubernetes 容器 监控类
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60696455/article/details/121293224
版权
博客讲述了作者遇到k8s客户端访问APIServer证书即将过期的报警,通过排查prometheus规则、kubeadm certs检查、Secrets及节点kubectl证书,最终发现是本地证书未更新导致的问题。解决方案包括更新本地证书和考虑使用抓包工具监控客户端证书时间。
摘要由CSDN通过智能技术生成

prometheus rule  

客户端访问 APIServer 证书快过期问题 

KubeClientCertificateExpiration (1 active)
name: KubeClientCertificateExpiration
expr: apiserver_client_certificate_expiration_seconds_count{job="apiserver"} > 0 and on(job) histogram_quantile(0.01, sum by(job, le) (rate(apiserver_client_certificate_expiration_seconds_bucket{job="apiserver"}[5m]))) < 604800
labels:
severity: warning
annotations:
description: A client certificate used to authenticate to the apiserver is expiring in less than 7.0 days.
runbook_url: https://runbooks.prometheus-operator.dev/runbooks/kubernetes/kubeclientcertificateexpiration
summary: Client certificate is about to expire.

今天突然报警k8s 证书剩余时间少于7天 明明前几天刚更新了证书呢 

使用kubeadm certs check-expiration  查看所有证书发现全部都有1年+时间 

 查看prometheus 结果很明显了  就是定位不出那个证书过期了 

最低0.47元/天 解锁文章
无限进步~
关注
专栏目录
Kubernetes apiserver更换证书
江晓龙的博客
09-13 1240
Kubernetes apiserver更换证书 文章目录Kubernetes apiserver更换证书1.更换证书适用场景2.以新增master节点为例更换kube-apiserver证书文件2.1.重新生成kube-apiserver证书2.2.将证书文件拷贝至各个master节点对应路径2.3.重启master和node上面的组件2.4.部署新的master节点观察能否成功加入集群 1.更换证书适用场景 kubernetes更换证书的场景: 当集群要增加新的master/node节点,此时ap
Kubernetes API certificate is expiring in less than 7 days
haiziccc的专栏
04-26 851
openshift遇到以下报错, Kubernetes API certificate is expiring in less than 7 days 但并不清楚是什么证书过期引发的报警,网上的资料也查看了一些(https://github.com/kubernetes/kubernetes/issues/89611)。 最后通过以下方式解决,参照(https://docs.openshif...
云原生 | k8s处理APIServer 证书过期问题
m0_70331483的博客
04-03 362
k8s处理APIServer 证书过期问题
k8s系列】(202402) 证书apiserver_client_certificate_expiration_seconds
weixin_42072280的博客
02-06 1261
apiserver_client_certificate_expiration_second证书定义的位置:kubernetes/staging/src/k8s.io/apiserver/pkg/authentication/request/x509/x509.go at 244fbf94fd736e94071a77a8b7c91d81163249d4 · kubernetes/kubernetes (github.com) apiserver_client_certificate_expiration_s
kubenetes无法启动,检查后发现api-server证书失效
shelutai的博客
06-26 872
此时所有证书都已重新生成,在 /etc/kubernetes/pki 下。/etc/kubernetes/admin.conf、/etc/kubernetes/controller-manager.conf、/etc/kubernetes/scheduler.conf 也已经更新了。先用docker ps -a 查看最近docker容器是否正常运行,发现api-server容器刚刚退出。复制/etc/kubernetes/admin.conf 到~/.kube/config。查看证书命令下有哪些功能。
K8S 证书过期解决办法
热门推荐
海鸥
04-14 1万+
问题现象 K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问。 查看K8S的日志: Part of the existing bootstrap client certificate is expired: 2021-06-10 06:29:04 +0000 UT 这是说明k8s使用的证书过期了,k8s自带证书是一年的有效期。所以我们解决问题的办法就是更换证书。 一、确认K8S证书过期时间 查看k8s某一证书过期时间:
关于k8s证书过期问题
qq_43654518的博客
04-21 278
照常打开服务器连接准备换包,突然发现k8s命令无法使用了,报错如下
不使用K8S和Docker Swarm的情况下,纯Docker环境下nginx+hyperf+pm2的部署方案
jobsen123的专栏
07-16 3829
一 、构建Php镜像,其镜像包含pm2和pm2-logrotate以及ssh公钥登录功能 Dockerfile FROM ubuntu:18.04 MAINTAINER jobsen123@qq.com ENV DEBIAN_FRONTEND noninteractive RUN sed -i -e s@/archive.ubuntu.com/@/mirrors.aliyun.com/@g -e s@/security.ubuntu.com/@/mirrors.aliyun.com/@g /etc/.
kubelet自签证书
process的博客
12-30 3860
观察到kubelet的服务端证书过期了,但是集群还是正常的,就想看下kubelet的服务端证书时干什么用的。  所在的位置: [root@zyx-dev-k8s-node-cpu-220-0122 pki]# ls -la /var/lib/kubelet/pki/ total 12 drwxr-xr-x 2 root root 124 Apr 1 2020 . drw
Kubernetes基础之service、服务发布
qq_35302220的博客
11-02 1319
Kubernetes基础之service、服务发布
2022年中职网络搭建公开赛题答案
Selina_lv
08-10 7154
2022年国赛模题拟答案 配置 windows2 为 skills.com 域服务和 DNS 服务,DNS 正反向区域在 Active Directory 中存储,为 skills.com 域中主机提供正反向解析。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gDDrlu
K8s修改api-server证书为10年
m0_45426059的博客
12-06 562
api-server如何修改证书的年限
Kubernetes 证书过期
weixin_43509834的博客
11-29 1190
问题描述: Unable to connect to the server: x509: certificate has expired or is not yet valid 状况如图所示: 解决方案: 不妨先查看一下,看看是否是证书过期导致的: kubeadm alpha certs check-expiration 如图所示,证书截至日期为11月19日,已过期10天,问题锁定,下面执行证书更新操作。 2) 更新最新证书kubeadm alpha certs renew all 注
1、Kubernetes apiserver认证
码农崛起
06-06 1143
https://www.jianshu.com/p/97a3e7060f4chttps://www.cnblogs.com/netonline/p/8710481.htmlkubernetes认证Kubernetes集群的操作可以通过apiserver来进行操作,kubectl命令最终也是调用的apiserver,如果想要获取对apiserver进行操作,需要先通过其认证api-server的认证...
K8S 更新10年有效期证书
会哭的雨@的博客
03-05 4973
背景: k8s默认证书有效期为1年,需要更新证书有效期&加入证书自动更新机制 因k8s代码策略更新,导致延长有效期会有两套方案 v1.18支持--use-api参数,从controller-manager配置中获取证书有效期时间 kubeadm alpha certs renew all --use-api 接受更新请求 kubeadmcertificate approve REQUEST_NAME v1.19不支持--use-api参数,默..
Kubernetes API Server 之集群安全认证
weixin_45710286的博客
11-06 568
kubernetes API Serverkubernetes 集群的统一访问入口,它的核心功能就是提供 kubernetes的资源对象(例如:Pod、Deployment、RC、Service 等)的增、删、改、查及 watch 等 HTTP REST 接口,成为集群中各个功能模块之间数据交互和通信的中心枢纽,是整个系统的数据总线和数据中心。并且它还是整个集群管理的 API 入口,资源配额控制的入口,提供了完整的安全机制。
kubelet证书过期问题处理
最新发布
niuwj666的博客
06-11 614
按照以上方式改好后,重启kubelet会生成新的证书(重启kubelet就会生成新的.crt .key证书),但是.crt .key证书无需理会,目前来看不知道有啥用,即使过期很长时间,也不影响使用。下面这个命令可以看到证书的有效期openssl x509 -in 证书路径/证书名称 -noout -text | grep Not。
监控Kubernetes集群证书过期时间的三种方案
east4ming的博客
12-08 1000
监控Kubernetes集群证书过期时间的三种方案 - 通过 Blackbox Exporter; 通过 kube-prometheus-stack; 通过 enix 的 x509-certificate-exporter
Prometheus详解(十一)——Prometheus监控API Server
永远是少年
05-27 2949
今天继续给大家介绍Linux运维相关知识,本文主要内容是Prometheus监控API Server。 一、Prometheus监控API Server配置 二、二、API Server过滤
写一段python脚本,可以从客户端批量查看域名的ssl证书过期时间
08-10
以下是一段可以从客户端批量查看域名SSL证书过期时间的Python脚本: ```python import ssl import socket from datetime import datetime # 客户端域名列表 domain_list = ['example.com', 'google.com', '...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值