[MicroK8s] Unable to connect to the server: x509: certificate has expired or is not yet valid 问题定位案例

已于 2024-09-05 17:31:48 修改
阅读量775 收藏 19
点赞数 25
分类专栏: kubernetes troubleshooting 文章标签: kubernetes 容器 云原生
于 2024-09-05 16:11:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pcj_888/article/details/141933759
版权

问题描述

客户有一台基于Hyper-V创建的RHEL9虚拟机, 安装了MicroK8s, 启动正常。 虚拟机重启后, kubectl报错: Unable to connect to the server: x509: certificate has expired or is not yet valid

定位过程

这个报错说明MicroK8s apiserver证书的有效时间不对。 首先简单了解下Microk8s证书(以下内容 by ChatGPT)

  • 在 MicroK8s 中,ca.crt 和 server.crt 是位于 /var/snap/microk8s/current/certs/ 目录下的两个重要证书,作用如下:
  • ca.crt:这是集群的根证书颁发机构(CA)证书,用于签署其他所有的证书,包括 API 服务器证书、客户端证书、节点证书等。它是建立集群内部所有组件之间信任的基础 。
  • server.crt:这个证书是 Kubernetes API 服务器使用的 TLS 证书,它包括了 API 服务器服务的 DNS 名称和 IP 地址。当使用 kubectl 请求 API 服务器时,会使用到这个证书来确保通信的安全性 。
  • 当你使用 kubectl 请求 API 服务器时,kubectl 会使用 ca.crt 中的 CA 证书来验证 server.crt 的有效性。如果 server.crt 证书尚未过期,且由受信任的 CA 签发,kubectl 将接受该证书并继续通信 。
  • 如果遇到证书过期或即将过期的问题,可以使用 MicroK8s 的 refresh-certs 命令来刷新证书 。这个命令会帮助更新 CA 证书和重新生成 API 服务器证书,以及其他相关的证书 。

回到问题,先通过openssl查看apiserver证书有效时间:

openssl x509 -in /var/snap/microk8s/current/certs/server.crt -text -noout | grep Not
Not Before: Oct 4 00:01:28 2024 GMT
Not After : Oct 4 00:01:28 2025 GMT

再查看当前系统时间:

timedatectl
      Local time: Thu 2024-09-05 06:52:02 UTC
  Universal time: Thu 2024-09-05 06:52:02 UTC
        RTC time: Thu 2024-09-05 06:52:03
       Time zone: America/New_York (EDT, -0400)
     NTP enabled: yes
NTP synchronized: yes

发现问题:当前系统时间是09-05, 而证书有效开始时间是10-04,是一个未来的时间,所以报certificate is not yet valid

我测了几次,发现每次VM重启后,microk8s都会根据当时系统时间重新生成一次apiserver证书。(只重启k8s不重启机器,不会生成新的证书)

客户环境的证书有效开始时间是10-04,又配置了NTP,这说明重新生成证书的那个时刻,系统时间就是10-04,随后NTP服务启动,系统时间又被改对了而已。 通过启动日志确认这一点:

dmesg -T | grep rtc #(或者查/var/log/message)
[Thu Sep 5 06:46:09 2024] rtc_cmos 00:01: setting system clock to 2024-10-04T00:01:04 UTC

从启动日志中,发现VM的RTC时间果然是10-04,比正确时间快了接近一个月。 总结下这个问题发生的过程:

  • Hyper-V没有正确同步VM的RTC时间,VM重启的时刻RTC时间为10-04,这个未来的时间被同步给了系统时间。
  • MicroK8s重新生成apiserver证书,证书有效时间设置为系统时间10-04
  • chronyd服务启动, 系统时间又被NTP server同步成了正确的时间09-05
  • 当前系统时间(09-05)早于证书有效时间(10-04),所以kubectl报错 certificate is not yet valid

至于Hyper-V为什么没有正确同步虚拟机的RTC时间,这个需要Microsoft的支持。 下面给出一个workaround规避这个问题:

解决方法

每次启动判断下MicroK8s证书时间是否有效,如果是一个未来的时间,就重新刷下MicroK8s证书。

CERT_FILE="/var/snap/microk8s/current/certs/server.crt"
not_before=$(date -d "$(openssl x509 -noout -dates -in "$CERT_FILE" | grep "notBefore" | cut -d= -f2)" +%s)
current_time=$(($(date +%s) + 300))

if [ ! -z "$not_before" ] && [ "$current_time" -lt "$not_before" ]; then
	microk8s refresh-certs --cert server.crt
fi

注:RTC时间可以不用手动设置,因为配置了NTP server之后一段时间会自动同步

可以添加一个systemd service, 使用systemctl enable命令,每次启动的时候执行。service配置文件如下:

[Unit]
Description=Refresh k8s certs if cert is not yet valid
After=chronyd.service

[Service]
Type=oneshot
ExecStart=/path/to/your_script.sh

[Install]
WantedBy=multi-user.target
pcj_888
关注
专栏目录
k8s 证书过期【完美解决】:x509_ certificate has expired or is not yet valid
甘蓝的专栏
04-08 759
【完美解决】k8s证书在安装1年后过期,导致k8s集群不可用的问题
microk8smicrok8s 各种指令
突围
01-22 802
官方 snap官方 MicroK8s 集成指令 MicroK8s 附带了许多命令。在本教程中,我们只看到了必不可少的部分。在您方便的时候探索其他: microk8s 状态:提供 MicroK8s 状态(运行/未运行)以及启用的插件集的概览 microk8s enable:启用插件 microk8s disable:禁用插件 microk8s kubectl:与 kubernetes 交互 microk8s config:显示 kubernetes 配置文件 microk8s istioctl..
查看k8s证书过期时间:各组件
学亮编程手记
02-22 4973
[root@k8s-n0 kuboard-install]# kubeadm alpha certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml' [check-expi
k8s v1.16.3,Unable to connect to the server: x509: certificate has expired or is not yet valid
最新发布
牛奔的博客
03-27 645
前言 kubernetes 版本为 v1.16.3 使用 kubelet get node 后报错: x509: certificate has expired or is not yet valid ,提示证书过期。 解决 检查证书何时过期 kubeadm alpha certs check-expiration CERTIFICATE EXPIRES ...
实测:重启服务器之后k8s启动失败报错Unable to connect to the server:x509: certificate has expired or is not yet valid
sfdst的博客
03-07 7059
文章目录1 问题描述(kubeadm证书/etcd证书过期处理)2 集群恢复方法3 手动替换apiserver证书3.1 备份证书和配置3.2 自备的kube-config.yaml文件4 通过脚本一键更新证书(本次通过脚本更新证书)5 启用自动轮换kubelet证书5.1 增加kubelet参数5.2 增加controller-manager参数5.3 创建rbac对象 1 问题描述(kubeadm证书/etcd证书过期处理) 重启了服务器,发现k8s启动失败,一直报错连接 Unable to regis
K8S异常之Unable to connect to the server: x509: certificate has expired or is not yet valid
一掬净土
01-03 9234
K8S异常之Unable to connect to the server: x509: certificate has expired or is not yet valid
Unable to connect to the server: x509: certificate has expired or is not yet valid
weixin_54104864的博客
06-15 6578
【代码】Unable to connect to the server: x509: certificate has expired or is not yet valid
MicroK8s v1.26.4 离线镜像
05-13
国内使用 MicroK8s 搭建k8s环境 存在拉取镜像慢的情况,所以我打包了一些组件的镜像上传,以备后用。 导入镜像命令: microk8s images import 包含镜像列表: docker.io/calico/cni:v3.23.5 docker.io/calico/cni ...
microk8sMicroK8s是面向开发人员,物联网和边缘的小型,快速,单包Kubernetes
02-02
MicroK8s 最小,最快的Kubernetes 单包完全合格的轻量级Kubernetes,可在。 适用于: 开发人员工作站 物联网 边缘 CI / CD Canonical可能已经组装了配置单节点Kubernetes集群的最简单方法-Kelsey 为什么选择...
microk8s.io:Canonical为microk8s.io网站编写的代码
04-28
MicroK8s.io是由Canonical公司开发的一个专注于轻量级KubernetesK8s)部署的平台。这个项目的主要目标是提供一个快速、可靠且易于管理的Kubernetes环境,尤其适用于开发、测试和本地工作流。在给定的信息中,我们...
k8s报错:Unable to connect to the server: x509: certificate has expired or is not yet valid
qq_42448043的博客
01-02 8372
问题现象:kubernetes集群部署过程中,kubectl相关命令不可用,报错:Unable to connect to the server: x509: certificate has expired or is not yet valid。过一段时间又可以正常使用。 解决方案:检查生成证书的机器的时间是否与master、node节点时间同步,若生成证书机器的时间早于master、node...
k8s重启后kubectl get nodes: Unable to connect to the server: x509: certificate has expired or is not ye
迷失在代码的海洋里
08-29 1042
执行 kubectl get nodes报错 Unable to connect to the server: x509: certificate has expired or is not yet valid k8s/kubelet 证书过期解决
k8s报错 Unable to connect to the server: x509: certificate has expired or is not yet vali
weixin_44371237的博客
03-03 452
k8s报错 Unable to connect to the server: x509: certificate has expired or is not yet vali
k8s组件证书过期:Unable to connect to the server: x509: certificate has expired or is not yet valid
llg___的博客
11-28 1448
Unable to connect to the server: x509: certificate has expired or is not yet valid自己服务的pod重启后数量一直会为0。K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/pki 路径下,由 kubeadm 生成的客户端证书在 1 年后到期,因此需要定时更新证书,否则证书到期会导致整个集群不可用。今天遇到一个k8s证书过期问题,记录下解决方法。
k8s集群证书过期,更新证书,证书过期报错:Unable to connect to the server: x509: certificate has expired or is not yet v
ligaoman521的博客
01-06 2774
在master节点操作: #查看证书有效期 kubeadm alpha certs check-expiration 或者 openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not ' #证书备份 cp -rp /etc/kubernetes /etc/kubernetes.bak #重新生成证书,使用该命令不用提前删除过期证书 kubeadm alpha certs renew all #再次
Unable to connect to the server: x509: certificate is valid for问题解决
doublepg13的博客
10-23 3320
我们的kubernetes的apiserver-advertise-address是一个内网IP,默认情况下,kubernetes自建的CA会为apiserver签发一个证书,证书的默认可访问的是内网IP、kuberneteskubernetes.default kubernetes.default.svc、kubernetes.default.svc.cluster.local,不包含设备的外网IP。通过如下命令查看kubernetes的admin.conf中的证书的有效期,看是否有效。
CentOS下利用Microk8s便捷部署k8s集群
本文档主要介绍了如何在 CentOS 系统上利用 Microk8s 快速创建一个 Kubernetes 集群。Microk8s 是一个轻量级的 Kubernetes 发行版,特别适合在单机或小型环境中部署。以下是详细的步骤: 1. **系统准备**: - 关闭...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

pcj_888

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值