使用kubeconfig报错x509证书认证错误-->failed to verify certificate: x509

已于 2024-06-19 20:58:47 修改
阅读量581 收藏 4
点赞数 11
分类专栏: kubernetes 文章标签: k8s kubernetes
于 2024-06-19 17:49:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63577947/article/details/139808750
版权

问题描述

连接时出现问题报错,查看logs显示报错信息

failed to verify certificate: x509: certificate is valid for 127.0.0.1,
      10.103.97.2, 192.168.0.88, 10.96.0.1, not 61.171.67.189]

使用以下命令解析 apiserver 证书得到允许访问服务端的地址信息

openssl x509 -noout -text -in /etc/kubernetes/pki/apiserver.crt |grep IP

原因分析:

默认情况下,kubernetes 自建的CA会为apiserver签发一个证书,证书的默认可访问的是内网IP、kubernetes、kubernetes.default kubernetes.default.svc、kubernetes.default.svc.cluster.local,不包含 master 节点的公网 IP

DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:apiserver.cluster.local, DNS:kubernetes.default.svc.cluster.local, DNS:meh9cioodnchi2ql, DNS:localhost, DNS:kubernetes, IP Address:127.0.0.1, IP Address:10.103.97.2, IP Address:192.168.0.88, IP Address:10.96.0.1

解决方案:

删除当前 kubernetes 集群下的 apiserver 的 cert 和 key

rm /etc/kubernetes/pki/apiserver.*

生成新的 apiserver 的 cert 和 key
我是通过 sealer 安装的,所以需要添加control-plane 节点 config 文件内配置的 server 地址

kubeadm init phase certs apiserver \ 
--apiserver-advertise-address=<节点配置的ip> \
--apiserver-cert-extra-sans=<外网ip>

刷新admin.conf

kubeadm alpha certs renew admin.conf

重新创建 apiserver

kubectl apply -f /etc/kubernetes/manifests/kube-apiserver.yaml

再次查看解析获得证书内容,发现增加了我们想要的地址

openssl x509 -noout -text -in /etc/kubernetes/pki/apiserver.crt |grep IP
                DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster.local, DNS:snow, IP Address:10.96.0.1, IP Address:192.168.0.88, IP Address:61.171.67.189
Kai-Test
关注
  • 11
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s 证书过期【完美解决】:x509_ certificate has expired or is not yet valid
甘蓝的专栏
04-08 398
【完美解决】k8s证书在安装1年后过期,导致k8s集群不可用的问题!
x509-forest-of-trust:用于在 ETH 区块链上的父指针树中存储经过验证的 X.509 证书链的 Solidity 合约
05-29
x509-信任森林解析和验证 X.509 证书链并将它们存储在 ETH 区块链上的父指针树中的 Solidity 合约。 然后,ETH帐户可以证明树中已验证证书的所有权。 对...有用: 将域与以太坊地址相关联: 使用签名的 HTTP 交换...
docker拉镜像报错Error response from daemon: Get “xx“: tls: failed to verify certificate: x509: certificat
空山新雨后,天气晚来秋
03-13 1524
docker拉镜像报错:Error response from daemon: Get "https://harbor.x.com/v2/": tls: failed to verify certificate: x509: certificate relies on legacy Common Name field, use SANs instead
deepin-elf-verify-1.1.10-1 mips64 龙芯 依赖库
09-03
deepin-elf-verify-1.1.10-1 mips64 龙芯 依赖库
react-native-verify-slider:用于React Native的动画Verification Slider组件
05-17
在项目中,你还可以查看`react-native-verify-slider-master`目录下的源代码,了解组件的工作原理,甚至对其进行扩展和定制,以满足更复杂的场景需求。总之,React Native Verify Slider是一个强大且易于使用的工具...
deepin-elf-verify-1.1.10-1-amd64 amd,intel,兆芯 UOS依赖包
08-10
deepin-elf-verify_1.1.10-1_amd64 amd,intel,兆芯 UOS依赖包
verify-ios-sdk:适用于iOS的Nexmo Verify SDK
05-18
使用iOS的Verify SDK,您可以轻松地将Verify功能集成到您的iOS应用程序中。 使用NexmoVerify for iOS,您可以输入用户的电话号码,然后SDK会为您完成验证。 为了将NexmoVerify for iOS集成到您的应用中,请参阅: ...
k8s集群创建devops项目一直等待状态,没有发现host
m0_72363694的博客
07-15 596
3、动态扩容测试 kubectl get deployment 应用升级 kubectl set image (--help 查看帮助) 扩容: kubectl scale --replicas=3 deployment tomcat6 扩容了多份,所有无论访问哪个 node 的指定端口,都可以访问到 tomcat6。2、暴露 nginx 访问 kubectl expose deployment tomcat6 --port=80 --target-port=8080 --type=NodePort。
[k8s源码]4.informer
weixin_45396500的博客
07-16 713
这段代码定义了 PodInformer 接口及其实现,采用了工厂模式和延迟初始化策略来管理 Kubernetes Pod 资源的 Informer。核心是 Informer() 方法,它通过调用 factory.InformerFor() 来获取或创建 cache.SharedIndexInformer 实例。这个过程的本质是构造一个 cache.SharedIndexInformer 类型的 informer。
使用Velero备份与恢复K8s集群及应用
最新发布
07-19 647
备份容灾一键恢复集群迁移支持备份pv,备份数据加密,通过两种备份插件实现,通过启动命令upload-type参数更改。
RKE部署k8s
professorman的博客
07-19 235
安装成功之后会在当前目录生成kube_config_cluster.yml文件,此为k8skube_config文件,需要配置kubectl默认读取文件才可执行kubectl命令进行查询。如果需要增加node节点或者etcd节点,只需要更改cluster.yml后rke up --update-only即可。则在install的时候加上。此处密码最少12个字符。rke部署k8s集群。
风哥容器云平台架构师专题3.0(Docker+Kubernetes/K8s+KubeSphere)
风哥oracle/mysql/pg技术教程
07-19 378
风哥本套课程内容涉及:容器基础知识与组件结构, Docker安装与基本操作、Docker镜像管理与维护、Docker Harbor镜像仓库、Docker容器运行与管理、Docker数据卷与共享存储、Docker网络管理与应用、Docker DockerFile详解、Docker Compose容器编排、Docker Swarn集群管理、Docker生产应用镜像定制开发与应用实战;(*)Docker+Nginx+PHP网站服务器镜像制作与应用。(*)Docker+WebLogic生产应用镜像制作与应用。
部署k8s 1.28.9版本
灰色的小熊的博客
07-15 662
修改相关配置 calico.yml文件中相关配置CALICO_IPV4POOL_CIDR 改成admin init中 --pod-network-cidr 参数相同,但是由于现在的dokerhub无法下载镜像,通过阿里云下载相关镜像还无法找到对应的版本的网络代理插件。如果按照笔者的配置就不需要修改上述的CALICO_IPV4POOL_CIDR。(master) 创建自有证书 生成内容 在node节点是有用的 请一定要记住 下方已经标注出来了,一个是token 一个是生成的 有效的sha256的值。
K8S实战进阶
xinxiaoyu_的博客
07-19 755
官网文档:https://kubernetes.io/zh-cn/docs/reference/using-api/REST API 是 Kubernetes 系统的重要部分,组件之间的所有操作和通信均由 API Server 处理的 REST AP I调用,大多数情况下, API 定义和实现都符合标准的 HTTP REST 格式,可以通过kubectl命令管理工具或其他命令行工具来执行。控制管理器开启–horizontal-pod-autoscaler-use-rest-clients。
K8S系列-Kubernetes基本概念及Pod、Deployment、Service的使用
Feverasa的博客
07-14 1130
K8s的基本介绍、Pod、Deploy、Service的基本使用
windows 安装 kubectl 并连接到 k8s 集群【图文教程】
甘蓝的专栏
07-19 462
还不会在windows上连接到k8s集群?
K8S私有云 服务器负载均衡器OpenELB
嫦娥妹妹等等我的博客
07-17 956
OpenELB 是一个基于 Kubernetes 的开源负载均衡器解决方案,主要用于在私有云环境中分发流量。它支持多种后端(如 NodePort、ClusterIP、ExternalName)和多种负载均衡算法(如轮询、最少连接、随机等)。
k8s系列问题:[ERROR Port-10250]: Port 10250 is in use
Jc0803kevin的专栏
07-18 397
在启动命令添加 --ignore-preflight-errors=Port-10250。查看端口是否真的被占用了。
tls: failed to verify certificate: x509: certificate signed by unknown authority
05-27
这是一个关于TLS证书验证的错误信息,通常是因为客户端无法验证服务器端证书的颁发机构。这可能是由于以下原因之一: 1. 证书颁发机构未知,这通常会发生在自签名证书使用不受信任的证书颁发机构签署的证书时。 2. 证书链不完整或不正确,这通常是由于证书链中的一些证书丢失或未正确配置所导致的。 要解决这个问题,你可以尝试以下步骤: 1. 确认证书是否有效,并确保证书链完整和正确。 2. 尝试手动导入证书到客户端的信任存储库中。 3. 如果使用的是自签名证书,可以考虑使用公共证书颁发机构签署的证书

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值