云原生 | k8s处理APIServer 证书快过期问题

已于 2023-04-03 09:18:25 修改
阅读量335 收藏
点赞数
分类专栏: K8s问题处理 文章标签: kubernetes
于 2023-04-03 09:14:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70331483/article/details/129921273
版权
文章讲述了如何检测和处理Kubernetes集群中APIServer证书即将过期的问题,通过`kubeadmcertscheck-expiration`命令检查证书有效期,并提供了一个`k8s-secrets.sh`脚本来遍历和测试证书到期时间。解决方案包括使用`kubeadmcertsrenewall`命令一键更新所有证书和配置文件,以及验证更新后证书的有效期已延长至2024年4月2日。
摘要由CSDN通过智能技术生成

1.客户端访问 APIServer 证书快过期问题 

prometheus rule  

 2.使用kubeadm certs check-expiration  查看所有证书发现全部都有1年+时间 

其中 CERTIFICATE 部分为证书部分,CERTIFICATE AUTHORITY 为 ca 部分

3.vim k8s-secrets.sh

CERT_DIR=${CERT_DIR:-/etc/kubernetes/pki}
for i in $(find $CERT_DIR -name '*.crt' -o -name '*.pem'); do
 echo $i
    openssl x509 -enddate -in $i -noout
done
for f in $(ls /etc/kubernetes/{admin,controller-manager,scheduler}.conf); do
 echo $f
    kubectl --kubeconfig $f config view --raw -o jsonpath='{range .users[*]}{.user.client-certificate-data}{end}' | base64 -d | openssl x509 -enddate -noout
done

 跑脚本测试证书到期时间

解决方案:

1.更新相关证书,可以使用下面命令一键更新所有证书和configuration文件

kubeadm certs renew all

2.验证证书更新效果

再检查集群相关证书情况

kubeadm certs check-expiration

相关证书的有效期已经被设置成 2024 年 4 月 2了

Theshy!
关注
专栏目录
云原生运维实战 | 速解决高可用K8s集群证书到期问题
WeiyiGeek 唯一极客IT知识分享
06-29 884
移除并等待 20 秒(参考 KubeletConfiguration 结构 中的fileCheckFrequency 值), 等待pod终止后再将配置清单移会原始目录,然后kubelet将会重建这些Pod。由于作者水平有限,本章错漏缺点在所难免,希望读者批评指正,若有问题或建议请在文章末尾留下您宝贵的经验知识,或联系邮箱地址。Step 8.若kuebelt证书未更新,我们需要在集群证书签名请求CSR中进行批准。原文地址: https://blog.weiyigeek.top/
k8s 证书过期【完美解决】:x509_ certificate has expired or is not yet valid
甘蓝的专栏
04-08 645
【完美解决】k8s证书在安装1年后过期,导致k8s集群不可用的问题
ETCD和api-server证书过期时间证书生成
风水道人
09-19 269
ETCD和api-server证书过期时间证书生成
k8s Client certificate is about to expire 客户端访问 APIServer 证书过期
m0_60696455的博客
11-12 3595
prometheus rule 客户端访问 APIServer 证书过期问题 KubeClientCertificateExpiration (1 active) name: KubeClientCertificateExpiration expr: apiserver_client_certificate_expiration_seconds_count{job="apiserver"} > 0 and on(job) histogram_quantile(0.01, sum by(j...
云原生Kubernetes----证书过期处理办法
hy199707的博客
06-19 2172
随着云计算技术的飞速发展,Kubernetes已成为企业构建、扩展和管理容器化应用程序的首选平台。然而,随着集群的持续运行,在企业中经常会遇到一个问题——Kubernetes集群的证书过期。这个问题不仅影响集群的稳定性,还可能带来安全风险。本文将深入探讨Kubernetes证书过期问题、影响以及解决方案
关于k8s证书过期问题
qq_43654518的博客
04-21 260
照常打开服务器连接准备换包,突然发现k8s命令无法使用了,报错如下
k8s组件证书过期:Unable to connect to the server: x509: certificate has expired or is not yet valid
llg___的博客
11-28 1314
Unable to connect to the server: x509: certificate has expired or is not yet valid自己服务的pod重启后数量一直会为0。K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/pki 路径下,由 kubeadm 生成的客户端证书在 1 年后到期,因此需要定时更新证书,否则证书到期会导致整个集群不可用。今天遇到一个k8s证书过期问题,记录下解决方法。
k8s集群证书过期,更新证书证书过期报错:Unable to connect to the server: x509: certificate has expired or is not yet v
weixin_54104864的博客
05-26 364
【代码】k8s集群证书过期,更新证书证书过期报错:Unable to connect to the server: x509: certificate has expired or is not yet v。
云原生】kubeadm搭建企业级K8S高可用集群保姆级攻略
景天科技苑
01-04 1337
我们都知道,k8s中有三位大哥:kubelet, kubeadm, kubectl 其中: kubelet是服务,用来调用下层的container管理器,从而对底层容器进行管理。 kubectl是API,供我们调用,键入命令对k8s资源进行管理。 kubeadm是管理器,我们可以使用它进行k8s节点的管理。 今天,我们就基于kubeadm来详细讲讲怎么部署高可用K8S集群
云原生(二十七) | Kubernetes篇之自建高可用k8s集群前置概念与操作
Lansonli(蓝深李)的博客
06-16 2880
自建高可用k8s集群前置概念与操作
云原生k8s】kubeadm搭建k8s集群
weixin_67582338的博客
08-08 251
KubeadmKubeadm是一个K8s 部署工具,提供 kubeadm init 和 kubeadm join,用于速部署Kubernetes 集群。二进制包从github 下载发行版的二进制包,手动部署每个组件,组成Kubernetes 集群。Kubeadm 降低部署门槛,但屏蔽了很多细节,遇到问题很难排查。如果想更容易可控,推荐使用二进制包部署Kubernetes 集群,虽然手动部署麻烦点,期间可以学习很多工作原理,也利于后期维护。......
云原生k8s】Kubeadm搭建K8S
m0_71521555的博客
11-02 257
Kubeadm搭建K8S
k8s证书过期的解决方案
是我的温柔啊
03-29 1044
注意:需要重启pod ,例如: kubectl delete po -n kube-system metrics-server-5d497bdd7d-tlzz7。首先需要在linux中安装openssl,这点不多做赘述。注意:证书更新后,需要重启master节点。
k8s容器时间与服务器时间不一致问题
风水道人
11-18 823
k8s容器时间与服务器时间不一致问题
Kubernetes apiserver更换证书
江晓龙的博客
09-13 1224
Kubernetes apiserver更换证书 文章目录Kubernetes apiserver更换证书1.更换证书适用场景2.以新增master节点为例更换kube-apiserver证书文件2.1.重新生成kube-apiserver证书2.2.将证书文件拷贝至各个master节点对应路径2.3.重启master和node上面的组件2.4.部署新的master节点观察能否成功加入集群 1.更换证书适用场景 kubernetes更换证书的场景: 当集群要增加新的master/node节点,此时ap
k8s修改apiserver证书可用年限
qq_61855329的博客
10-30 561
使用 kubeadm 部署的 K8S 集群中,apiserver 证书的默认可用年限只有一年。如果直接用在生产环境,当证书过期后会造成 K8S 集群瘫痪,从而影响现网业务。2,查看 apiserver 证书信息,默认可用年限只有一年。3,查看 ca 证书信息,默认可用年限为10年。1,查看 K8S 集群所有证书存放位置。6,更新个节点证书到master。5,更新kubeadm。4,修改证书可用年限。
kubernetes集群证书过期问题解决
最新发布
weixin_43880061的博客
07-09 693
K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/pki 路径下,kubeadm 生成的证书大部分默认有效期为 1 年,因此需要定时更新证书,否则证书到期会导致整个集群不可用
K8S证书过期解决办法之替换证书
q_hsolucky的博客
06-20 1万+
k8s证书过期解决方案之替换证书
K8S 证书过期解决办法
热门推荐
海鸥
04-14 1万+
问题现象 K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问。 查看K8S的日志: Part of the existing bootstrap client certificate is expired: 2021-06-10 06:29:04 +0000 UT 这是说明k8s使用的证书过期了,k8s自带证书是一年的有效期。所以我们解决问题的办法就是更换证书。 一、确认K8S证书过期时间 查看k8s某一证书过期时间:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值