kubelet证书过期问题处理

最新推荐文章于 2024-08-10 11:38:11 发布
最新推荐文章于 2024-08-10 11:38:11 发布
阅读量549 收藏 9
点赞数 4
文章标签: kubelet 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niuwj666/article/details/139599946
版权

通过sealos安装的k8s集群,虽然kubeadm证书是100年的,但是kubelet证书除master1节点外(sealos最开始部署在master1中),其他节点均是一年一续(自动续签),但是发现部分站点的master2节点的kubelet证书没有自动续签,具体原因未知,还需探索,如有大佬告知,将不胜感激

一、出现问题

日常巡检时发现大量的pod处于Terminated状态,查看kubectl get nodemaster2处于NotReady状态,具体报错(命令journal -xe查看)如下图红框所示:第二行中找不到文件无需理会,sealos部署的都没有这个文件,不影响使用。
报错: 404844 bootstrap_go:285} part of the existing bootstrap client certificate in /etc/kubernetes/kubelet.conf is expired: 2024-06-25 06:18:42 +0000 UTC
404744 run.go:74] "command failed " err="failed to run kubelet : unable to load bootstrap kubeconfig: stat /etc/kubernetes/bootstrap-kubelet.conf: no such file or directory,如下入下图:在这里插入图片描述

报错提示.conf文件过期,以前一直以为证书到期是报错x509: certificate has expired or is not yet valid,今天学到了,kubelet证书到期还会提示文件过期。

二、排查进入死胡同

因为最开始不确定是证书到期了,只能和无头苍蝇似的四处乱撞,看到master2服务器上的pod都是4年前启动的,这肯定不对,k8s集群才部署了一年,然后查看服务器时间timedatectl,看到RTC time与正常时间相差4年,感觉是这个问题,然后hwclock --set --date "北京时间"修改时间后,kubelet还是启动报错。然后又开启了漫漫百度路……

三、证书续签

百度到kubelet证书的一种续签方式

即/etc/kubernetes/admin.conf中的client-certificate-data 与 client-key-data  
替换/etc/kubernetes/kubelet.conf  client-certificate 与 client-key

在这里插入图片描述

在这里插入图片描述

所有节点替换完成后,重启kubelet,可以看到 /var/lib/kubelet/pki 文件夹下生成了新的kubelet-client证书

在这里插入图片描述

四、总结

按照以上方式改好后,重启kubelet会生成新的.pem .crt .key证书(重启kubelet就会生成新的.crt .key证书),但是.crt .key证书无需理会,目前来看不知道有啥用,即使过期很长时间,也不影响使用。

下面这个命令可以看到证书的有效期

openssl x509 -in 证书路径/证书名称 -noout -text | grep Not

niuwj666
关注
kubelet.crt 过期了,集群竟然还能正常运行?揭秘背后的秘密!
Tommy Xiao
05-18 124
我们在搭建 Kubernetes 集群时,一般只声明用于集群 Master、Etcd等通信的证书 为 10年 或者 更久,但未声明集群 Kubelet 组件证书Kubelet 组件证书 默认有效期为1年。集群运行1年以后就会导致报 certificate has expired or is not yet valid 错误,导致集群 Node不能和集群 Master正常通信。那么这个 kubelet.crt 是干啥的?它是 kubelet 本地端口需要的证书
Kubelet 证书自动续期
qq_24794401的博客
11-25 2699
一、问题现象和原因 Kubernetes 日志错误 当 Kubernetes 集群日志中出现 certificate has expired or is not yet valid 错误信息时,表明证书过期 证书过期原因 服务器时间不对,导致证书过期 确实证书过期证书过期,很多同学会很疑惑,我证书明明签署10年有效期或者更久,怎么刚1年就过期了,下面就来解惑。 Kubernetes 集群证...
kubernets】kubelet证书单独更新
margu_168的博客
01-25 822
接上一篇文章关于kubernets中的证书管理。本篇文章将单独说明一下kubelet证书更新。在1.19.16版本中,默认情况下使用 kubeadm alpha certs renew all 不能更新kubelet证书,其他版本请自行测试。但是某些情况下,我们需要立即对kubelet使用的证书更新,下面的方法大家可以参考一二。
kubelet证书过期处理过程
最新发布
u014286104的博客
08-10 470
(重启kubeletkube-apiserver、kube-controller-manager、kube-scheduler、calico-kube-controller、kube-proxy、calico-node)(加粗内容需要根据自己实际版本号、工作节点主机名、证书到处vip 和端口号填写)3)拷贝 kubelet.conf 文件到work 节点。2)删除 work 节点 kubelet.conf文件。1)移除 kubelet.conf文件。2)生成kubeconfig文件。
kubelet证书过期解决方法
weixin_30588827的博客
10-25 1201
昨天收到报警短信:集群中某node状态为notReady,由于是长期不用的,所以放到今天才有空处理,以下记录处理过程。 查看kubelet日志,发现不停的打印证书过期相关提示信息。 以下操作基于kubernetes集群版本:v1.6.6 kubelete 证书默认有效期一年 1.查看证书有效期,这里使用以前下载的cfssl-certinfo curl -s -L -o /usr...
kubelet 证书过期问题
qq_36864672的博客
04-14 750
如果想要调整证书有效期可以通过设置 kube-controller-manager 的 --experimental-cluster-signing-duration 参数实现,该参数默认值为。此时执行 openssl x509 -in /var/lib/kubelet/pki/kubelet-server-current.pem -noout -text | grep ‘Not' 查看kubelet证书时间。没有在重启kubelet服务之前删除/var/lib/kubelet/pki。
k8s问题排查:the existing bootstrap client certificate in /etc/kubernetes/kubelet.conf is expired
paopaodog的博客
07-29 1723
k8s问题排查:the existing bootstrap client certificate in /etc/kubernetes/kubelet.conf is expired
kubelet证书过期处理方案
求知若渴,虚心若愚。
02-16 3593
kubelet证书过期处理方案
Kubernetes】关于K8s集群证书过期问题处理过程记录
cnskylee的博客
09-28 2902
一个相对完整的思路,处理k8s集群证书过期问题
k8s证书过期处理方案
11-17
处理证书过期问题,首要任务是备份当前的证书。在Linux系统中,证书通常位于`/etc/kubernetes/pki`目录下,可以使用`cp -r`命令进行备份。这样做的目的是在更新过程中,如果出现问题,可以快速恢复到旧的状态。 ...
Kubernetes 认证证书过期处理
山巅
12-15 444
kubesphere 安装的jenkins,因为在页面上操作没有响应,我想重启下,结果发现删除原来的容器后,没法自动重新创建容器。如下图:里面的pod删除了,不会自动生成。
持续集成系列----k8s证书过期问题处理(一年后踩坑)
ct1150的博客
08-29 2678
背景 突然收到Prometheus的报警,提示k8s证书过期只差七天,wtf?!黑人问号脸,查了下资料发现kubeadm安装的集群,默认的自签名证书有效期只有一年。。。要是没有告警,证书到期,集群停摆,业务崩盘,是不是直接可以走人了 解决方案 查看证书到期情况 find /etc/kubernetes/pki/ -type f -name "*.crt" -print|egrep -v 'ca....
k8s 证书过期【完美解决】:x509_ certificate has expired or is not yet valid
甘蓝的专栏
04-08 645
【完美解决】k8s证书在安装1年后过期,导致k8s集群不可用的问题
kubernetes(1.23)证书过期如何续期
老段工作室
04-27 2690
通过kubeadm安装的kubernetes集群各个组件所使用证书的期限为1年,本实验练习的是到期之后如何续期。
云原生Kubernetes----证书过期处理办法
hy199707的博客
06-19 2171
随着云计算技术的飞速发展,Kubernetes已成为企业构建、扩展和管理容器化应用程序的首选平台。然而,随着集群的持续运行,在企业中经常会遇到一个问题——Kubernetes集群的证书过期。这个问题不仅影响集群的稳定性,还可能带来安全风险。本文将深入探讨Kubernetes证书过期问题、影响以及解决方案
kubernetes集群证书过期处理
BY_xiaopeng的博客
10-17 655
kubernetes certs
kubelet证书过期
04-27
如果kubelet证书过期,可以通过以下步骤进行更新: 1. 生成新的证书和私钥 可以使用openssl命令生成新的证书和私钥,例如: ``` openssl genrsa -out kubelet.key 2048 openssl req -new -key kubelet.key -out kubelet.csr openssl x509 -req -in kubelet.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out kubelet.crt -days 365 ``` 2. 将新证书复制到kubelet所在的节点 将新生成的kubelet.crt和kubelet.key证书复制到kubelet所在的节点上,例如: ``` scp kubelet.crt kubelet.key <kubelet-node>:/etc/kubernetes/pki/ ``` 3. 重启kubelet服务 在kubelet所在的节点上,重启kubelet服务使其加载新证书: ``` systemctl restart kubelet ``` 这样,kubelet证书就会被更新并且不会再过期了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值