修改apiserver证书

最新推荐文章于 2023-06-15 19:03:53 发布
最新推荐文章于 2023-06-15 19:03:53 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: kubernetes 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25794513/article/details/124178202
版权

问题:

k8s集群增加了新的虚拟IP和网址,默认的证书包含的名称不能满足我们的要求重新更新证书。

解决:

Kubernetes APIServer 使用数字证书来加密 APIServer 的相关流量以及验证到 APIServer 的连接。所以如果我们想使用命令行客户端(比如 kubectl)连接到 APIServer,并且使用的主机名或者 IP 地址不包括在证书的 subject 的备选名称(SAN)列表中的话,访问的时候可能会出错,会提示对指定的 IP 地址或者主机名访问证书无效。要解决这个问题就需要更新证书,使 SAN 列表中包含所有你将用来访问 APIServer 的 IP 地址或者主机名。

更新 APIServer 证书

首先要修改kubeadm的配置文件,如果你使用配置文件安装的集群可以直接修改,没有可以直接kube-system空间的下的configmap中找到文件,导出到本地

编辑配置文件,添加新的IP或域名

kubectl -n kube-system get configmap kubeadm-config -o jsonpath='{.data.ClusterConfiguration}' > kubeadm.yaml

 

apiServer:
  # 默认没有SAN信息
  certSANs:
  - 10.10.10.10
  extraArgs:
    authorization-mode: Node,RBAC
  timeoutForControlPlane: 4m0s
apiVersion: kubeadm.k8s.io/v1beta2
certificatesDir: /etc/kubernetes/pki
clusterName: kubernetes
controllerManager: {}
dns:
  type: CoreDNS
etcd:
  local:
    dataDir: /var/lib/etcd
imageRepository: registry.aliyuncs.com/google_containers
kind: ClusterConfiguration
kubernetesVersion: v1.20.0
networking:
  dnsDomain: cluster.local
  podSubnet: 10.244.0.0/16
  serviceSubnet: 10.96.0.0/16
scheduler: {}

添加完成后需要把已存在的密钥剪切走

# 剪切证书密钥
$ mv /etc/kubernetes/pki/apiserver.{crt,key} ~
# 执行命令生成新的密钥
$ kubeadm init phase certs apiserver --config kubeadm.yaml

验证: 

openssl x509 -in /etc/kubernetes/pki/apiserver.crt -text

在显示的结果中就能看到你添加的IP了,最后记得编辑下kube-system中的map文件

王小栋857
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes apiserver更换证书
江晓龙的博客
09-13 1187
Kubernetes apiserver更换证书 文章目录Kubernetes apiserver更换证书1.更换证书适用场景2.以新增master节点为例更换kube-apiserver证书文件2.1.重新生成kube-apiserver证书2.2.将证书文件拷贝至各个master节点对应路径2.3.重启master和node上面的组件2.4.部署新的master节点观察能否成功加入集群 1.更换证书适用场景 kubernetes更换证书的场景: 当集群要增加新的master/node节点,此时ap
Apache HTTP Server API文档
01-13
API文档会涵盖证书管理、加密套件选择等安全相关的主题。 总的来说,Apache HTTP Server API文档是开发者深入理解并充分利用Apache服务器功能的关键资源。它不仅提供了对服务器内部工作原理的深入洞察,也使得...
重要提醒 | 手动轮换Rancher Kubernetes集群的证书
cenmeng8703的博客
07-01 1009
Kubernetes集群通常使用ssl证书来加密通信,Rancher会自动为集群生成证书。在Rancher v2.0.14、v2.1.9之前的版本,Rancher配置集群的自动生成证书的有效期为1年,这意味着如果您在大约1年前使用这些版本创建了Rancher配置集群,那么您需要尽快开始轮换证书,否则证书过期后集群将进入错误状态。轮换证书是一次性操作,新生成的证书有效期为10年...
apiserver启动证书认证
国产-达芬奇
01-13 434
- --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt - --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt - --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt - --tls-private-key-file...
kubernetes apiserver认证
mark's technic world
02-12 2729
kubernetes认证Kubernetes集群的操作可以通过apiserver来进行操作,kubectl命令最终也是调用的apiserver,如果想要获取对apiserver进行操作,需要先通过其认证api-server的认证方式:基本认证:basic-auth--basic-auth-file=/path/to/basic-auth.csv在basic-auth.csv拥有以列为单位的认证信...
Kubernetes集群安全:Api Server认证
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
11-11 3426
Kubernetes提供了三种级别的客户端认证方式: HTTPS证书认证,是基于CA根证书签名的双向数字证书认证方式,是最严格的认证 HTTP Token认证,通过Token识别每个合法的用户 HTTP Basic认证 HTTP Token认证和Http Basic认证是相对简单的认证方式,Kubernetes的各组件与Api Server的通信方式仍然是HTTPS,但不再使用CA数字证书。 ...
k8s证书修改为10年文件
06-13
这包括`apiserver`, `apiserver-kubelet-client`, `front-proxy-ca`, `front-proxy-client`, `etcd-server`, `etcd-peer`, `sa.key` 和 `sa.pub`等。 5. **滚动更新组件**:对于kubelet和controller manager等组件...
1、证书有效期修改1
08-04
- **Kubernetes证书管理**:Kubernetes使用X.509证书进行身份验证和授权,包括apiserver、etcd、node、kubelet等组件间的通信。 - **Kubeadm工具**:Kubeadm是一个用于初始化和管理Kubernetes集群的命令行工具,它...
JAVA修改AD域密码_免证书
01-27
JNDI是Java平台的一个接口,它提供了一组API,允许开发者查找和绑定网络资源,如DNS记录、邮件服务器、数据库连接等。在AD场景下,JNDI可以用来查询和修改AD目录的对象,例如用户账户和密码。 在修改AD域密码时,...
grafana的https协议证书配置
08-14
第二步:使用我制作好的证书,压缩包里有修改Grafana的grafana.ini,修改配置如下:改protocol 为 httpsprotocol = https,证书路径(路径改为自己证书所在路径,一般放在grafana文件夹下) cert_file = /etc/grafana/...
k8s apiserver配置
weixin_30677617的博客
05-18 2799
接着上面的博客继续写   pwd ->/etc/kubernetes/ssl   cp /etc/etcd/ssl/etcd-1-71.* .   cat apiserver   ### # kubernetes system config # # The following values are used to configure the kube-apiserver ...
Kubernetes_APIServer_证书_02_K8S内部交互架构和所有证书
毛毛的专栏
03-12 1576
所有证书作用
kubeadm 线上集群部署(二) apiserver高可用部署方案
weixin_30691871的博客
05-10 198
在nginx01上安装git 请确保nginx01能免秘钥登录nginx02 yum install -y git git clone https://github.com/qq676596084/ansible-playbook.git cd ansible-playbook/Keeplived-Nginx 修改host文件 vim hosts # This i...
k8s学习第19天--证书认证
qq_34893654的博客
05-04 803
Kubernetes (k8s) 提供了多种用于认证管理的机制,这些机制可以确保只有经过授权的用户和服务能够访问Kubernetes集群。以下是Kubernetes常用的一些认证管理机制:证书认证:通过使用X.509证书来进行身份验证和授权。Kubernetes集群必须配置CA证书颁发机构,以便在证书过期之前对颁发的证书进行撤销并更新。Token认证:在Kubernetes API服务器上创建一个持久令牌,该令牌可用于访问API服务器。
k8s集群崩溃-恢复集群证书过程
最新发布
weixin_45066823的博客
06-15 243
清空所有master节点 /etc/kubernetes/pki 下所有文件,保留/etc/kubernetes/pki/etcd目录,在其一个master上执行以下命令,获得所有ca文件,并同步到其他master。(所有master节点ca文件要一致)1、在仅有一个master证书保留的情况下。将以下证书拷贝到其他master节点。在其他master节点上执行。在其他master节点上执行。2、所有证书丢失的情况下。
关于KubernetesAPI Server使用token、kubeconfig文件认证的一些笔记
山河已无恙
01-26 3961
只有能做到“尽人事而听天命”,一个人才能永远保持心情的平衡。 ----- 《季羡林谈人生》
k8s高可用集群
qq_15138049的博客
01-17 499
k8s 高可用
通配符SSL证书SAN证书的差别
花飘万家雪
10-17 3160
当下有两种多用SSL证书,具体情况如下: 通配符(Wildcard)证书——通配符证书广泛用于保护一个独特的完全限定性域名下的多个子域名。这种证书的好处是,它不仅使管理证书变得简单,而且还能帮助你降低管理费用。它能够随时保护你当前和将来的子域名。 1. 通配符证书能够使你的证书管理变得十分简单,因为一个证书对保护当前和将来所有的子域名完全是足够的。这反过来也能减低你的管理费用,因为你不需要经常...
Kubernetes_认证授权_静态Pod网关apiserver底层都是restful接口(UserAccount三种访问方式和打开外网)
毛毛的专栏
10-15 1072
静态Pod网关apiserver底层都是restful接口
日志报错“No authentication-kubeconfig provided in order to lookup client-ca-file in configmap/extension-apiserver-authentication in kube-system, so client certificate authentication won't work.”
05-26
解决方法是在 Kubernetes 的控制节点上,找到 `extension-apiserver-authentication` 的 ConfigMap,检查其是否包含了正确的认证信息。如果没有,需要重新生成证书文件,并将它们添加到 ConfigMap 。 具体操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值