TKGm 集群证书更新步骤

最新推荐文章于 2024-09-15 07:00:00 发布
最新推荐文章于 2024-09-15 07:00:00 发布
阅读量443 收藏 1
点赞数
文章标签: java kubernetes linux docker 数据库
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNzUyNzI5Mw==&mid=2730793643&idx=2&sn=441d16460f58a554f3ec8d5f3036b402&chksm=bc4cf4b98b3b7dafd8e8e074cc5895d182672f666f302c61f6a00ba719290b987a3a1c0c7b0f&scene=126&&sessionid=0
版权

5e0e37cbafb9e95bf6ae12390183511c.png

   Kubernetes 在不同的地方使用了证书(Certificate),在 Kubernetes 安装和组件启动参数中也需要配置大量证书相关的参数。大体分为两种

  • 用于集群 Master、Etcd等通信的证书;

  • 用于集群中客户端kubelet组件和api通信的证书;

     与社区kubenetes一样,TKGm用于集群 Master、Etcd等通信的证书有效期为10年,客户端kubelet组件和api通信的证书默认有效期为1年。集群运行1年以后就会导致报 certificate has expired or is not yet valid 错误,导致集群 Node不能于集群 Master正常通信。社区kubenetes规避证书过期一般有三种解决方式:第一种是集群升级,通过升级kubenetes,间接的把证书也升级了。第二种是修改源代码,也就是对kubeadm重新编译。第三种就是重新生成证书。

   TKGm证书更新 目前支持通过升级集群和重新生成证书两种方式。

   所以监控证书状态,在证书过期之前升级集群或者更新很有必要。很多解决方案为了图省事,直接修改用于集群中客户端kubelet组件和api通信的证书过期时间为99年,其实有很多安全风险隐患,TKGm建议定期升级集群或者手工更新证书。  

    TKGm 更新证书步骤如下 (证书没有过期之前的处理方案,证书如果已经过期,需要另外的处理步骤)

备注:管理集群和工作集群步骤相同

测试版本

TKGm 版本:1.4

Kubenetes版本:v1.21.2+vmware.1

证书更新步骤:

1. 登录TKGm集群控制节点(需要登陆到每个控制节点),查看客户端证书过期时间

1)查看集群Node IP信息

$kubectl get nodes -o wide

[root@bootstrap yaml]# kubectl get nodes -o wide
NAME                                STATUS   ROLES                  AGE     VERSION            INTERNAL-IP       EXTERNAL-IP       OS-IMAGE                 KERNEL-VERSION   CONTAINER-RUNTIME
workload01n-control-plane-kkpvh     Ready    control-plane,master   2d19h   v1.21.2+vmware.1   192.168.110.173   192.168.110.173   VMware Photon OS/Linux   4.19.198-1.ph3   containerd://1.4.6
workload01n-md-0-5f47967fdb-7x4bx   Ready    <none>                 20h     v1.21.2+vmware.1   192.168.110.178   192.168.110.178   VMware Photon OS/Linux   4.19.198-1.ph3   containerd://1.4.6
workload01n-md-0-5f47967fdb-8rclf   Ready    <none>                 21h     v1.21.2+vmware.1   192.168.110.177   192.168.110.177   VMware Photon OS/Linux   4.19.198-1.ph3   containerd://1.4.6
workload01n-md-0-5f47967fdb-zrmvl   Ready    <none>                 20h     v1.21.2+vmware.1   192.168.110.179   192.168.110.179   VMware Photon OS/Linux   4.19.198-1.ph3   containerd://1.4.6

2) 在bootstrap操作机器登陆集群控制节点

ssh capv@<控制节点ip>

备注:bootstrap的 ssh 公钥在部署管理集群和发布集群已经注入到node

参考拙文《Tanzu学习系列之TKGm 1.4 for vSphere 快速部署》一文相关步骤

[workload01n-admin@workload01n|default] [root@bootstrap yaml]# ssh capv@192.168.110.173
The authenticity of host '192.168.110.173 (192.168.110.173)' can't be established.
ECDSA key fingerprint is SHA256:0v5C1Zh3m6CNRd1B+QzCmE1UiqVJyTpd52QJpZRKfVU.
ECDSA key fingerprint is MD5:69:e5:de:e5:9d:82:0a:dc:6a:e4:ac:29:66:98:82:88.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.110.173' (ECDSA) to the list of known hosts.
Enter passphrase for key '/root/.ssh/id_rsa':
08:25:33 up 2 days, 19:11,  0 users,  load average: 1.03, 1.95, 1.96




29 Security notice(s)
Run 'tdnf updateinfo info' to see the details.
capv@workload01n-control-plane-kkpvh [ ~ ]$

3)查看证书状态,其中EXPIRES列是证书的过期时间,确定客户端组件证书过期时间

$ sudo kubeadm  certs check-expiration

eed2228305fe32d63d0582aeaceb780f.png

2.登陆每个控制节点,更新证书

1)更新kube-apiserver, kube-controller-manager, kube-scheduler and etcd证书,更新完成提示重启kube-apiserver, kube-controller-manager, kube-scheduler and etcd,

$ sudo kubeadm certs renew all

capv@workload01n-control-plane-kkpvh [ ~ ]$ sudo  kubeadm certs renew all
[renew] Reading configuration from the cluster...
[renew] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -o yaml'




certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself renewed
certificate for serving the Kubernetes API renewed
certificate the apiserver uses to access etcd renewed
certificate for the API server to connect to kubelet renewed
certificate embedded in the kubeconfig file for the controller manager to use renewed
certificate for liveness probes to healthcheck etcd renewed
certificate for etcd nodes to communicate with each other renewed
certificate for serving etcd renewed
certificate for the front proxy client renewed
certificate embedded in the kubeconfig file for the scheduler manager to use renewed




Done renewing certificates. You must restart the kube-apiserver, kube-controller-manager, kube-scheduler and etcd, so that they can use the new certificate

2)查看对应容器号

$ sudo crictl ps|grep kube-apiserver

$ sudo crictl ps|grep kube-controller-manager

$ sudo crictl ps|grep kube-scheduler

$ sudo crictl ps|grep etcd

3)重启对应容器,执行stop命令,之后会自动启动

$sudo crictl stop <对应容器id>

capv@workload01n-control-plane-kkpvh [ ~ ]$ sudo  crictl ps|grep kube-apiserver
fd3898665adb4       0b9437b832f65       2 days ago          Running             kube-apiserver                     0                   98947a498ed46
capv@workload01n-control-plane-kkpvh [ ~ ]$ sudo  crictl ps|grep kube-apiserver
fd3898665adb4       0b9437b832f65       2 days ago          Running             kube-apiserver                     0                   98947a498ed46
capv@workload01n-control-plane-kkpvh [ ~ ]$  sudo crictl ps|grep kube-controller-manager
82ce0ee8c5263       060eb69223237       15 hours ago        Running             kube-controller-manager            1                   3735dd4223e35
capv@workload01n-control-plane-kkpvh [ ~ ]$  sudo crictl ps|grep kube-scheduler
c9e4a91c75a55       640b7ee0df98b       15 hours ago        Running             kube-scheduler                     1                   056ad6b97126e
capv@workload01n-control-plane-kkpvh [ ~ ]$ sudo crictl ps|grep etcd
bba626f73748e       6f7c29e5ac889       2 days ago          Running             etcd                               0                   b51830438ede1
capv@workload01n-control-plane-kkpvh [ ~ ]$ sudo crictl stop fd3898665adb4 82ce0ee8c5263 c9e4a91c75a55 bba626f73748e
fd3898665adb4
82ce0ee8c5263
c9e4a91c75a55
bba626f73748e
capv@workload01n-control-plane-kkpvh [ ~ ]$ sudo  crictl ps|grep kube-apiserver
fc53ce36869df       0b9437b832f65       7 seconds ago       Running             kube-apiserver                     1                   98947a498ed46
capv@workload01n-control-plane-kkpvh [ ~ ]$  sudo crictl ps|grep kube-controller-manager
d7f91f3826c21       060eb69223237       16 seconds ago      Running             kube-controller-manager            2                   3735dd4223e35
capv@workload01n-control-plane-kkpvh [ ~ ]$  sudo crictl ps|grep kube-scheduler
be6cca6996ecb       640b7ee0df98b       20 seconds ago      Running             kube-scheduler                     2                   056ad6b97126e
capv@workload01n-control-plane-kkpvh [ ~ ]$ sudo crictl ps|grep etcd
39e12db582577       6f7c29e5ac889       23 seconds ago      Running             etcd                               1                   b51830438ede1
capv@workload01n-control-plane-kkpvh [ ~ ]$

4)  重启kubelet服务

$ sudo systemctl restart kubelet

5)查看证书新的过期时间

$ sudo kubeadm  certs check-expiration

证书更新为一年时间

3a7276aab11c7516ae72913b09e4514a.png

(本文完)

要想了解云原生、机器学习和区块链等技术原理,请立即长按以下二维码,关注本公众号亨利笔记 ( henglibiji ),以免错过更新。

9b6ed9f1d3db7931d53921281a1cecd0.png

亨利笔记
关注
云原生运维实战 | 快速解决高可用K8s集群证书到期问题
WeiyiGeek 唯一极客IT知识分享
06-29 900
移除并等待 20 秒(参考 KubeletConfiguration 结构 中的fileCheckFrequency 值), 等待pod终止后再将配置清单移会原始目录,然后kubelet将会重建这些Pod。由于作者水平有限,本章错漏缺点在所难免,希望读者批评指正,若有问题或建议请在文章末尾留下您宝贵的经验知识,或联系邮箱地址。Step 8.若kuebelt证书更新,我们需要在集群证书签名请求CSR中进行批准。原文地址: https://blog.weiyigeek.top/
k8s集群证书过期处理,更新kubeadm生成的证书有效期为10年
隔壁老瓦的专栏
05-08 5627
该脚本用于处理已过期或者即将过期的kubernetes集群证书 kubeadm生成的证书有效期为为1年,该脚本可将kubeadm生成的证书有效期更新为10年 该脚本只处理master节点上的证书kubeadm默认配置了kubelet证书自动更新,node节点kubelet.conf所指向的证书会自动更新 小于v1.17版本的master初始化节点(执行kubeadm init的节点) ku...
kubeadm 重新生成证书
doublepg13的博客
11-21 597
路径下,kubeadm 生成的证书默认有效为 1 年,因此需要定时更新证书,否则证书到期会导致整个集群不可用。完成证书和配置文件的更新后,需要进行一系列后续操作保证更新生效,主要包括重启 kubelet、api-server、schedule等更新管理配置。Kubenetes 在升级控制面板相关组件时会主动更新证书,因此如果保证 Kubernetes 能够定期(一年以内)升级的话,证书会自动更新。将新生成的 admin.conf 文件拷贝,替换 ~/.kube 目录下的 config 文件。
kubernetes certs update 【证书更新
爱死亡机器人
07-25 1073
查看 kubelet是否支持证书自动轮换,默认轮换的证书位于目录。查看集群指定证书位置。备份 kubelet。
k8s(Kubernetes)实战(二)之部署api-server、controller-manager、scheduler、kubelet
Valhalla6416的博客
01-26 2423
书接上文 k8s(Kubernetes)实战(一)之部署etcd与flannel 。 接下来部署k8s的各个组件api-server、controller-manager、scheduler、kubelet,以及kubectl。 一、下载 k8s的release page:https://github.com/kubernetes/kubernetes/releases 进去之后,找到各版本的 CHANGELLOG, 然后找到 Server binaries的下载地址。 cd /da.
kubeadm部署k8s(包括离线方式)
weixin_42603477的博客
07-14 2980
kubeadm是官方社区推出的一个用于快速部署kubernetes集群的工具。这个工具能通过两条指令完成一个kubernetes集群的部署
二进制部署的K8s集群,如何对到期证书更新
时光旅行者
09-12 3411
一年前搭建的k8s集群,突然不能够正常访问,出现502错误,首先怀疑容器没起来,先对问题进行排查,排查响应的容器有没有正常启动,状态一切正常,访问容器地址也可以正常访问,于是访问node port地址,发现无法正常访问,确定问题出现在svc中。 由于其他的应用、系统也无法提供正常的服务,应该是k8s的问题,非单个应用的原因。查看服务状态,kubectl describe svc xxx,endp...
Kubernetes Worker节点加入集群步骤
最新发布
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
09-15 6860
Kubernetes集群中扩展Worker节点是提升系统处理能力和资源利用率的常用方法。
启动Hadoop HA集群的详细步骤
weixin_47068172的博客
02-19 3065
文章目录前言一、详细步骤总结 前言 下面主要讲述Hadoop HA集群的启动,使用三台虚拟机,分别为node-1,node-2,node-3,对这三台虚拟机提前进行配置,有HDFS分布式文件系统相关配置以及zookeeper分布式集群部署,进行完上述步骤后,开始启动HA集群。 提示:以下是本篇文章正文内容,下面案例可供参考 一、详细步骤 1、启动集群各个节点监控namenode的管理日志journalNode 结果 2、在export下的data中新建hadoop文件夹,hadoop下新建data
K8S集群架构和证书
yan_0916的博客
02-26 4981
一、单节点集群架构1、解决存储2、管理K8S集群的操作,都需要在master上执行 一、单节点集群架构 master管理worker node 1、解决存储 ETCD 一般来说ETCD如果用于单master节点,ETcd只有一个, 多节点的K8S集群,假设master+worker node 一共20台以内,ETCD中的数据为2G 2、管理K8S集群的操作,都需要在master上执行 客户端管理工具,kubectl(命令行的基操)可以对yml文件进行转换成json并且对yml文件的语法进行检查 K8S安.
Tanzu学习系列之TKGm 1.4 for vSphere 组件集成(二)
亨利笔记
01-03 651
开局一张图,谷歌大神Kelsey Hightower说:一个好汉三个帮!Kubernetss是一个好平台,完善需要周边工具链来帮忙。TKG通过Tanzu Packages集成发布经...
TKG 1.5.1 的 BYOH 集群部署
亨利笔记
04-06 1907
开局一张图,Tanzu Kubernetes Grid v1.5.1 发布支持的一个重要功能是 Bring Your Own Host (简称BYOH)体验版本发布,这个解决方案突破了 TKGm 工作集群部署依赖 vSphere 或者 AWS,AZURE 等公有云的限制,TKGm管理集群部署在 vSphere 或者 AWS,AZURE 之上,但是 TKGm 工作...
DNF的命令使用教学
kepa520的博客
07-01 1645
DNF新一代的RPM软件包管理器。他首先出现在 Fedora 18 这个发行版中。而最近,他取代了YUM,正式成为 Fedora 22 的包管理器。 DNF包管理器克服了YUM包管理器的一些瓶颈,提升了包括用户体验,内存占用,依赖分析,运行速度等多方面的内容。 DNF使用 RPM, libsolv 和 hawkey 库进行包管理操作。尽管它没有预装在 CentOS 和 RHEL 7
Kubernetes各组件服务重启
monkey的专栏
11-19 3312
Kubernetes各组件服务重启 MASTER端+NODE共同服务 systemctl restart etcd systemctl daemon-reload systemctl enable flanneld systemctl restart flanneld MASTER端独有服务 systemctl daemon-reload systemctl enable kube-apiserver systemctl restart kube-apiserver systemctl dae...
【ssh】ECDSA key fingerprint问题
睹物思理
03-13 3万+
$ whoami name: kelvin email: kelvv@outlook.com homepage: www.kelvv.com github: https://github.com/kelvv Secure Shell(缩写为SSH),由IETF的网络工作小组(Network Working Group)所制定;SSH为一项创建在应用层和传输...
Kubernetes APIServer,Etcd,controller manager,scheduler 高可用原理
小楼一夜听春雨,深巷明朝卖杏花
07-20 2017
这两个月和博云合作的项目是要用于客户生产环境的,这个和我以前做的东西有很大的不同,所有基础架构必须给出高可用的解决方案。在这之前我只做过一些流量较小的用户产品或者一些原型项目,一开始基础架构都只给出了单节点的解决方案,结果被大师兄喷这个在生产环境根本不可用。不过事实确实是在一个真实的分布式系统中硬件损坏、进程崩溃、网络不通都可能直接导致系统不可用。...
kubernetes 1.16 二进制集群高可用安装实操踩坑篇
sfdst的博客
04-28 7026
更多操作文章 https://devopstack.cn 1 系统设置 1.1 主机系统环境说明 [root@k8s-master01 ~]# cat /etc/redhat-release CentOS Linux release 7.7.1908 (Core) [root@k8s-master01 ~]# uname -r 3.10.0-693.el7.x86_64 1.2 主机名设...
解决Unable to connect to Redis server: 192.168.110.1/192.168.110.1:6379
热门推荐
小思的博客
01-24 7万+
出现场景: springboot整合redis,启动项目时 出现原因: redis的一系列配置不正确 解决方案: 首先在window安装redis,找到安装目录下的 redis.windows.conf redis.windows-service.conf 1)修改 protected-mode yes 改为:protected-mode no 2)注释掉 #bin 127.0.0.1 3...
kubenetes 1.15 证书过期处理
hackvssec的专栏
09-02 531
参考:https://www.ibm.com/support/knowledgecenter/SSCKRH_1.1.0/platform/t_certificate_renewal.html 实测发现即使已过期的也适用 Renewing Kubernetes cluster certificates The Kubernetes cluster certificates have a lifespan of one year. If the Kubernetes cluster certificate
OpenShift 4.4 集群更新指南
OpenShift Container Platform 4.4 的集群更新是一个涉及多步骤的过程,需要理解更新服务、选择合适的升级频道、熟悉更新工具,并注意与计算节点相关的特殊操作。通过适当的规划和执行,可以确保集群在升级后保持...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值