K8S 证书过期的解决方法

已于 2022-10-12 13:14:45 修改
阅读量1.4k 收藏 4
点赞数 2
分类专栏: K8S 文章标签: kubernetes docker 容器
于 2022-10-12 12:59:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/paul_ham/article/details/127280438
版权
本文介绍了当Kubernetes集群证书过期时的诊断、查看及解决方法。包括检查日志确定问题、查看证书过期时间、了解证书位置、手动和自动续订证书的步骤。针对主节点和从节点,提供了证书的重新生成、配置文件更新以及节点状态验证的过程,以恢复集群正常运行。注意,对于生产环境,建议参照官方文档谨慎操作。
摘要由CSDN通过智能技术生成

K8S 证书过期的解决方法

2年前用虚拟机做K8S集群学习。最近打开当时的虚拟机,发现K8S无法启动。

The connection to the server xxxx:6443 was refused - did you specify the right host or port?

1.诊断

查看日志 sudo journalctl -xefu kubelet,发现报错“bootstrap-kubelet.conf: no such file or directory”,并提示证书过期。

Oct 11 23:55:51 master.k8s systemd[1]: kubelet.service failed.
Oct 11 23:56:01 master.k8s systemd[1]: kubelet.service holdoff time over, scheduling restart.
Oct 11 23:56:01 master.k8s systemd[1]: Stopped kubelet: The Kubernetes Node Agent.
-- Subject: Unit kubelet.service has finished shutting down
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
-- 
-- Unit kubelet.service has finished shutting down.
Oct 11 23:56:01 master.k8s systemd[1]: Started kubelet: The Kubernetes Node Agent.
-- Subject: Unit kubelet.service has finished start-up
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
-- 
-- Unit kubelet.service has finished starting up.
-- 
-- The start-up result is done.
Oct 11 23:56:01 master.k8s kubelet[2931]: I1011 23:56:01.532681    2931 server.go:411] Version: v1.19.4
Oct 11 23:56:01 master.k8s kubelet[2931]: I1011 23:56:01.533162    2931 server.go:831] Client rotation is on, will bootstrap in background
Oct 11 23:56:01 master.k8s kubelet[2931]: E1011 23:56:01.534673    2931 bootstrap.go:265] part of the existing bootstrap client certificate is expired: 2021-12-06 17:48:28 +0000 UTC
Oct 11 23:56:01 master.k8s kubelet[2931]: F1011 23:56:01.534777    2931 server.go:265] failed to run Kubelet: unable to load bootstrap kubeconfig: stat /etc/kubernetes/bootstrap-kubelet.conf: no such file or directory

查看状态 systemctl status kubelet.service

[root@master kubernetes]# systemctl status kubelet.service 
● kubelet.service - kubelet: The Kubernetes Node Agent
   Loaded: loaded (/usr/lib/systemd/system/kubelet.service; enabled; vendor preset: disabled)
  Drop-In: /usr/lib/systemd/system/kubelet.service.d
           └─10-kubeadm.conf
   Active: activating (auto-restart) (Result: exit-code) since Wed 2022-10-12 00:26:38 CST; 7s ago
     Docs: https://kubernetes.io/docs/
  Process: 6437 ExecStart=/usr/bin/kubelet $KUBELET_KUBECONFIG_ARGS $KUBELET_CONFIG_ARGS $KUBELET_KUBEADM_ARGS $KUBELET_EXTRA_ARGS (code=exited, status=255)
 Main PID: 6437 (code=exited, status=255)

Oct 12 00:26:38 master.k8s kubelet[6437]: k8s.io/kubernetes/vendor/k8s.io/apimachinery/pkg/util/wait.Forever(...f200)
Oct 12 00:26:38 master.k8s systemd[1]: kubelet.service failed.
Hint: Some lines were el
最低0.47元/天 解锁文章
fatman64
关注
专栏目录
Kubernetes】关于K8s集群证书过期问题的处理过程记录
cnskylee的博客
09-28 3008
一个相对完整的思路,处理k8s集群证书过期问题。
k8s 证书过期【完美解决】:x509_ certificate has expired or is not yet valid
甘蓝的专栏
04-08 923
【完美解决k8s证书在安装1年后过期,导致k8s集群不可用的问题!
k8s证书过期
u010674101的专栏
10-16 394
只要apiserver容器重启了加载了新证书即可,否则请查询apiserver日志。更新/etc/kubernetes/pki目录下的所有证书(不包含ca证书)由于我之前是有kubekey部署的,在我的电脑上找了很久配置文件才找到。可以看到这个文章,我部署的,1年到期,童嫂无欺!话说回来,证书过期,真是一个巨坑。注意:需要在每一个节点上都更新。
K8S集群证书过期,一键修复指南 | 干货分享
最新发布
weixin_38320674的博客
10-09 755
在日常维护Kubernetes集群时,如果在安装的时候没有把证书设置足够长的时间,那运行一段时间k8s就会面临证书过期的问题。如果处理不及时,会导致kubectl命令无法使用,集群服务瘫痪。本文将详细讲解在k8s集群证书已经过期的情况下,如何检查和更新证书,有效延长证书的有效期,并确保集群恢复正常运行。通过几步操作,你可以轻松解决证书过期问题,避免实验环境或生产集群长时间宕机。一、检查证书状态首先...
K8s 集群(kubeadm) CA 证书过期解决方案
RAB
07-04 2224
K8s 集群(kubeadm) CA 证书过期解决方案。
K8s证书过期处理
liangpangpangyo的博客
05-28 703
本地有一个1master2worker的k8s集群,今天启动VMware虚拟机之后发现api-server没有起来,docker一直退出,这个集群是使用kubeadm安装的。于是kubectl logs查看了日志,发现证书过期了。
k8s证书过期处理
qq_35573061的博客
09-14 1922
证书一共分为根CA(ca.crt)master各组件的证书(包括etcd、apiserver、front-proxy、controller-manager等各种)kubelet证书其中,根CA和master各组件证书默认已经改成了100年,kubelet证书改成了10年且有自动轮换在一些用老包部署的环境里,可能出现证书过期问题,需要按如下操作解决证书问题。
K8S 证书过期解决办法
热门推荐
海鸥
04-14 1万+
问题现象 K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问。 查看K8S的日志: Part of the existing bootstrap client certificate is expired: 2021-06-10 06:29:04 +0000 UT 这是说明k8s使用的证书过期了,k8s自带证书是一年的有效期。所以我们解决问题的办法就是更换证书。 一、确认K8S证书过期时间 查看k8s某一证书过期时间:
kubeadm初始化k8s证书过期解决方案
05-23
### kubeadm初始化k8s证书过期解决方案 #### 概述 Kubernetes(简称k8s)作为当前主流的容器编排工具之一,在实际部署过程中常常采用kubeadm进行快速部署与管理。然而,在长期运行的过程中,kubeadm初始化时生成的...
K8S证书过期问题处理方法
wangwu9999的博客
12-06 4421
最近有些客户在使用SuperMap iManager for K8S的过程中遇到服务无法访问,查看K8S的日志 Part of the existing bootstrap client certificate is expired: 2021-06-10 06:29:04 +0000 UT 这是说明k8s使用的证书过期了,k8s自带证书是一年的有效期。所以我们解决问题的办法就是更换证书。 以下延长证书过期方法适合kubernetes1.14、1.15、1.16、1.17、1.18版本 下载所需
K8S证书过期处理
李半仙
10-09 1251
K8S证书过期处理 一、查看证书过期时间 find /etc/kubernetes/pki/ -type f -name "*.crt" -print|xargs -L 1 -t -i bash -c 'openssl x509 -noout -text -in {}|grep After' 二、备份原来的配置文件和证书 find /etc/kubernetes/pki/ -regex '.*.[crt|key]'|grep -v sa|grep -v ca|xargs -i cp {} /opt/ 三
解决K8s证书过期问题
m0_52931616的博客
11-02 3451
解决K8s证书过期问题
k8s集群证书过期解决
weixin_45112997的博客
08-29 2655
k8s集群证书过期解决
k8s 证书过期解决
jiangbenchu的博客
11-16 9689
K8S CA证书是10年,但是组件证书的日期只有1年,为了证书一直可用状态需要更新,目前主流的一共有3种: 1、版本升级,只要升级就会让各个证书延期1年,官方设置1年有效期的目的就是希望用户在一年内能升级1次,详见:k8s升级 2、通过命令续期 (这种只能延长一年) 3、编译源码Kubeadm,设置10年 一、查看证书过期时间 vim test.sh for item in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`; do openssl x5
k8s证书过期解决方案
是我的温柔啊
03-29 1067
注意:需要重启pod ,例如: kubectl delete po -n kube-system metrics-server-5d497bdd7d-tlzz7。首先需要在linux中安装openssl,这点不多做赘述。注意:证书更新后,需要重启master节点。
k8s证书过期问题处理
qq_30467221的博客
04-26 1004
重新生成新的配置文件。输入y 确认覆盖便可。
k8s集群证书过期,一键更新
蛋疼的NICK
06-13 469
k8s集群证书过期,一键更新
K8s证书过期处理:续签与操作指南
总结来说,处理k8s证书过期的关键步骤包括确认证书状态、备份现有证书、更新证书并替换相关配置文件。定期检查和自动化的证书管理是保障k8s集群稳定运行的重要环节。在多master的kubeadm部署中,这个过程可能需要更...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值