K8S证书过期解决办法之替换证书

已于 2023-06-20 16:09:23 修改
阅读量1.3w 收藏 48
点赞数 8
文章标签: kubernetes 容器 linux
于 2023-06-20 15:57:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q_hsolucky/article/details/131308025
版权
本文详细介绍了当Kubernetes集群中的证书过期后,如何通过kubeadm工具来检查、替换和更新master及node节点的证书,包括kubelet证书的轮换。过程中涉及证书备份、kubeconfig文件的生成与更新,以及集群重启后的验证。此外,还提到了更新证书可能带来的后遗症和解决方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

1 证书过期的情况

2 Kubernetes环境介绍

3 替换证书步骤

3.1 在master上查看各证书的过期时间

3.2 查看master(192.168.0.190)上kubelet证书列表

3.3  查看master(192.168.0.190)上kubelet证书的过期时间

3.4 查看node1和node2上kubelet证书的过期时间(同(2))

3.5 备份相关证书文件的目录

3.6 轮换master上证书

3.7 再次查看证书过期日期

3.8 查看/etc/kubernetes/pki/证书是否更新了

3.9 移除conf文件

3.10 重新生成kubeconfig文件

3.11 查看是否生成出来了新的配置文件

3.12 重新拷贝管理员所用的新的kubeconfig文件

3.13 重启kube-scheduler

4 轮换kubelet证书

4.1 轮换master上的kubelet证书

4.1.1 在master上查看证书签名请求(简称为CSR)

4.1.2 查看当前kubelet证书的过期时间

 4.2 轮换node上的kubelet证书

4.2.1 生成node1所需要的kubelet.conf文件

4.2.2 切换到node1,重启kubelet 

5 重启集群

6 后遗症

本博客参考

https://blog.csdn.net/Harry_z666/article/details/128015175

已进行了验证,非常感谢原文博主的记录~

另外,我的kubernetes版本为V1.23.4。

请在更新证书前使用命令行删除之前的工作部署容器,以免产生垃圾数据,对测试产生不必要的麻烦。截图上的时间请忽略,注意内容就好,毕竟记录本篇博客的时候我已经按着教程更新完了证书,都是补图或搜索到的状态类似的图。

1 证书过期的情况

使用kubeadm方式安装的kubernetes集群各个组件所使用的证书期限为1年,到期后,证书失效,kubectl命令无法使用,在使用kubectl命令时,报错无法连接到localhost:8080。

2 Kubernetes环境介绍

192.168.0.190为master节点,192.168.0.191、192.168.0.192分别为node1和node2节点。操作系统为linux 4.19.90-25.2.v2101.gfb01.ky10.aarch64

3 替换证书步骤

3.1 在master上查看各证书的过期时间

kubeadm certs check-expiration

3.2 查看master(192.168.0.190)上kubelet证书列表

ls /var/lib/kubelet/pki/

3.3  查看master(192.168.0.190)上kubelet证书的过期时间

openssl x509 -in /var/lib/kubelet/pki/kubelet-client-current.pem -noout -text | grep Not

3.4 查看node1和node2上kubelet证书的过期时间(同(2))

3.5 备份相关证书文件的目录

(很重要,养成备份好习惯,证书废掉集群就要重新安装了)

cp -r /etc/kubernetes/ /tmp/backup/ # 静态pods配置以及证书
cp -r /var/lib/kubelet/pki/ /tmp/backup.crr #证书pem存放目录

3.6 轮换master上证书

[root@master kubernetes]#kubeadm certs renew all
最低0.47元/天 解锁文章
Fiona_q
关注
K8S 证书替换
别来沾边儿
07-29 583
修改ignress,修改tls的secret为新创建的。#创建secret。
k8s证书过期处理 手动生成证书、凭证
寂夜了无痕的博客
05-18 1864
k8s证书过期处理 手动生成证书、凭证
K8S-证书过期问题:默认1年
only_xiao_的博客
03-28 568
k8s证书过期
Kubernetes集群更换证书(正常更新方法、和更新证书为99年)
虫虫的博客
03-29 2266
Kubernetes集群更换证书(正常更新方法、和更新证书为99年)
Kubernetes(k8s)-证书续期
最新发布
03-26 875
上一小节我们介绍了Kubernetes里面涉及到的证书,有的有效期是10年,有的有效期是1年,而且除了根证书是10年,实际业务使用的证书都是1年。如果证书到期,我们应该怎么续期呢?
k8s- kubernetes证书过期替换之kubeadm命令 certs renew all方式
liuyij3430448的博客
04-27 7133
**k8s集群之间的访问会使用到证书,如果使用kubeadm搭建的集群,默认CA证书的有效期为10年,其他组件访问证书的有效期为1年。如果过期后没有更新证书可能会引起k8s集群的不可用**
K8S(kubeadm版)更新证书
ArrogantB的博客
03-18 2734
k8s证书过期更换,kubeadm方式更换证书
k8s证书过期处理
qq_35573061的博客
09-14 2995
证书一共分为根CA(ca.crt)master各组件的证书(包括etcd、apiserver、front-proxy、controller-manager等各种)kubelet证书其中,根CA和master各组件证书默认已经改成了100年,kubelet证书改成了10年且有自动轮换在一些用老包部署的环境里,可能出现证书过期问题,需要按如下操作解决证书问题。
k8s证书过期问题处理
10-16
在解决k8s证书过期问题之前,我们需要了解Kubernetes使用证书的位置以及如何管理这些证书Kubernetes主要使用证书来保证API服务器、kubelet客户端、etcd数据库以及其他组件之间的安全通信。为了管理证书,...
18 | 如何处理k8s证书过期
u013916029的博客
12-22 821
k8s 证书
K8s证书过期处理:续签与操作指南
总结来说,处理k8s证书过期的关键步骤包括确认证书状态、备份现有证书、更新证书替换相关配置文件。定期检查和自动化的证书管理是保障k8s集群稳定运行的重要环节。在多master的kubeadm部署中,这个过程可能需要更...
k8s更换过期证书
树袋熊
05-11 5207
首先查看当前证书到期时间 for item in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`;do openssl x509 -in $item -text -noout| grep Not;echo ======================$item===================;done 备份过期证书 备份证书 cp -rp /etc/kubernetes /etc/kubernetes.bak 更新新证书 生成新证书
k8s证书过期怎么更新?
运维老生常谈
02-09 898
Kubernetes 集群中,证书过期可能导致集群不可用,尤其是 API Server、Controller Manager、Scheduler 等组件所使用的证书。为了恢复集群的正常运行,您需要更新这些证书。管理的集群,则需要手动管理证书的生成和替换。对于手动部署的 Kubernetes 集群,您可能需要自行生成和替换证书。: 替换证书后,您需要重启 Kubernetes 的组件,以便它们加载新的证书。在更新证书之后,建议将新生成的证书和密钥进行备份,以防日后需要恢复或排查问题。
k8s证书更新
kali_yao的博客
02-21 7014
1.故障现象 k8s安装一年后证书显示过期证书未自动续期。 2.更新过程 一下操作需到所有master节点操作 下载kubeadm 一般情况下,k8s创建的集群节点上的/usr/bin/文件夹下会存在kubeadm二进制文件,如果发现master节点上没有kubeadm,可以从官方下载。以amd64架构1.16.9版本的kubeadm为例子,可以通过curl -L --remote-name-all https://storage.googleapis.com/kubernetes-r
kubernetes集群更换证书(设置100年证书)
菜鸟运维升级之路
04-14 1731
操作系统: centos7.9 x86_64安装方式: kubeadm。
自建k8s集群证书到期的更换
麦兜爱说谎
03-16 1083
1、说明 一般正常安装k8s集群,集群证书的有效期是一年,包括以下证书: - apiserver - apiserver-kubelet-client - apiserver-etcd-client - front-proxy-client - etcd/server - etcd/peer - etcd/healthcheck-client 2、证书过期问题解决办法 对于手动生成的证书 手动安装过程中,只需指定证书过期时间为N天...
k8s证书过期---手动更新
lcm_linux的博客
03-17 6065
背景: 执行命令发现报错: Unable to connect to the server: x509: certificate has expired or is not yet valid 这就是k8s证书过期k8s解决证书过期官方文档:https://kubernetes.io/zh/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/ 查看是k8s master 节点证书过期了,登录master服务器,进入 /etc/kubernetes/
k8skubelet 配置证书轮换自签
weixin_42562106的博客
08-17 1200
kubernetes1.7之后,可以采用集群自动签发证书方案,但仍然需要手动重启kubelet, 在1.8之后,就可以自动签发,自动renew证书;也可以设置更长的有效期。 方法1 . 查看证书有效期 root@node101 ~]# kubeadm certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look..
k8s 证书过期更新
瞅自己都上火的博客
11-07 252
首先查看当前证书到期时间 for item in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`;do openssl x509 -in $item -text -noout| grep Not;echo ======================$item===================;done 备份过期证书
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值