自建k8s集群证书到期的更换

最新推荐文章于 2024-04-15 08:32:06 发布
最新推荐文章于 2024-04-15 08:32:06 发布
阅读量926 收藏 3
点赞数
分类专栏: k8s运维 docker 文章标签: kubernetes docker etcd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29649903/article/details/114883270
版权

1、说明

    一般正常安装k8s集群,集群证书的有效期是一年,包括以下证书:
    - apiserver
    - apiserver-kubelet-client
    - apiserver-etcd-client
    - front-proxy-client
    - etcd/server
    - etcd/peer
    - etcd/healthcheck-client

2、证书过期问题解决办法
对于手动生成的证书
    手动安装过程中,只需指定证书的过期时间为N天即可
对于kubeadm
    方式一:升级K8S集群,自动更新证书
    方式二:修改kubeadm并重新编译
    方式三:重新生成证书
3、过期处理
报错信息
    [root@k8s-master03 ~]# kubectl get po
    Unable to connect to the server: x509: certificate has expired or is not yet valid
日志信息
    The currently active client certificate has expired, but the server is not responsive. A restart may be necessary to retrieve new initial credentials.
证书备份
    cp -rp /etc/kubernetes /etc/kubernetes.bak
apiserver证书
    [root@k8s-master03 ~]# rm -f /etc/kubernetes/pki/apiserver*
front-proxy-client证书
    [root@k8s-master03 ~]# rm -f /etc/kubernetes/pki/front-proxy-client.*
etcd证书
    rm -rf /etc/kubernetes/pki/etcd/healthcheck-client.*
    rm -rf /etc/kubernetes/pki/etcd/server.*
    rm -rf /etc/kubernetes/pki/etcd/peer.*
重新生成证书
[root@k8s-master02 ~]# /opt/kubeadm alpha phase certs all --config kubeadm-config.yaml 
[certificates] Generated apiserver-kubelet-client certificate and key.
[certificates] Generated apiserver certificate and key.
[certificates] apiserver serving cert is signed for DNS names [k8s-master02 kubernetes kubernetes.default kubernetes.default.svc kubernetes.default.svc.cluster.local k8s-master01 k8s-master02 k8s-master03 k8s-master-lb] and IPs [10.96.0.1 192.168.20.21 192.168.20.10 192.168.20.20 192.168.20.21 192.168.20.22 192.168.20.10]
[certificates] Generated front-proxy-client certificate and key.
[certificates] Generated etcd/healthcheck-client certificate and key.
[certificates] Generated apiserver-etcd-client certificate and key.
[certificates] Generated etcd/server certificate and key.
[certificates] etcd/server serving cert is signed for DNS names [k8s-master02 localhost k8s-master02] and IPs [127.0.0.1 ::1 192.168.20.21]
[certificates] Generated etcd/peer certificate and key.
[certificates] etcd/peer serving cert is signed for DNS names [k8s-master02 localhost k8s-master02] and IPs [192.168.20.21 127.0.0.1 ::1 192.168.20.21]
[certificates] valid certificates and keys now exist in "/etc/kubernetes/pki"
[certificates] Using the existing sa key.

重新生成配置文件
[root@k8s-master02 ~]# mv /etc/kubernetes/
admin.conf               kubelet.conf             pki/                     scheduler.conf
controller-manager.conf  manifests/               pki.bak/                 tmp/
[root@k8s-master02 ~]# mv /etc/kubernetes/*.conf /tmp/
[root@k8s-master02 ~]# /opt/kubeadm alpha phase kubeconfig all --config kubeadm-config.yaml 
[endpoint] WARNING: port specified in controlPlaneEndpoint overrides bindPort in the controlplane address
[kubeconfig] Wrote KubeConfig file to disk: "/etc/kubernetes/admin.conf"
[kubeconfig] Wrote KubeConfig file to disk: "/etc/kubernetes/kubelet.conf"
[kubeconfig] Wrote KubeConfig file to disk: "/etc/kubernetes/controller-manager.conf"
[kubeconfig] Wrote KubeConfig file to disk: "/etc/kubernetes/scheduler.conf"
重启kubelet
    [root@k8s-master01 ~]# systemctl restart kubelet

4、集群确认
证书过期时间确认
    # 注意:cfssl需要自行安装
    [root@k8s-master01 ~]# cfssl-certinfo -cert /etc/kubernetes/pki/etcd/server.crt | grep not
      "not_before": "2018-11-30T07:45:08Z",
      "not_after": "2117-11-16T06:07:00Z",
集群状态确认
    [root@k8s-master01 ~]# kubectl get no
    NAME           STATUS   ROLES    AGE     VERSION
    k8s-master01   Ready    master   6d22h   v1.12.3
    k8s-master02   Ready    master   6d22h   v1.12.3
    k8s-master03   Ready    master   6d22h   v1.12.3
    k8s-node01     Ready    <none>   6d21h   v1.12.3
    k8s-node02     Ready    <none>   6d21h   v1.12.3
    
检查证书到期时间
openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not '
openssl x509 -in /etc/kubernetes/pki/apiserver-etcd-client.crt -noout -text |grep ' Not '
openssl x509 -in /etc/kubernetes/pki/apiserver-kubelet-client.crt -noout -text |grep ' Not '
openssl x509 -in /etc/kubernetes/pki/front-proxy-client.crt -noout -text |grep ' Not '
openssl x509 -in /etc/kubernetes/pki/etcd/healthcheck-client.crt -noout -text |grep ' Not '
openssl x509 -in /etc/kubernetes/pki/etcd/peer.crt -noout -text |grep ' Not '
openssl x509 -in /etc/kubernetes/pki/etcd/server.crt -noout -text |grep ' Not '

麦兜爱说谎
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8S集群证书监控ssl-exporter监控模板
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
kubeadm初始化k8s集群延长证书过期时间.bash
06-01
kubeadm初始化k8s集群延长证书过期时间
k8skubernetes证书续期_kubernetes 多master更新证书
最新发布
2401_83739503的博客
04-15 822
本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。kubernetes集群上kubeadm 安装的证书默认为 1 年,注意原证书文件必须保留在服务器上才能做延期操作,否则就会重新生成,集群可能无法恢复,这里在证书到期之前进行续期操作。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。
[错误解决]centos中使用kubeadm方式搭建多master的高可用K8S集群
weixin_42072280的博客
01-19 4675
安装步骤 部署Kubernetes Master时的错误 部署Kubernetes Master时,创建了一个kubeadm-config.yaml文件,将相关配置信息放到这个地方,该文件如下: apiServer: certSANs: - master1 - master2 - master.k8s.io - 192.168.44.158 #虚拟ip - 192.168.44.155 #master1的ip - 192.168.44.156
Kubernetes集群证书过期解决办法
非法小恋
08-18 3895
问题现象 K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问。 一、确认K8S证书过期时间 查看k8s某一证书过期时间: openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text | grep Not 显示如下,通过下面可看到证书有效期是1年,从2021到2022年: 其它证书同理,K8s各个证书过期时间如下: /etc/kubernetes/pki/api
kube-proxy ipvs failed complete: unrecognized feature gate: SupportIPVSProxyMode
qq_15138049的博客
01-18 2049
kube-proxy ipvs
k8s-证书过期处理办法.txt
08-15
k8s正式设置了一年的有效期时间,到期集群无法使用,需要重新对证书进行修改
K8S证书过期解决办法之替换证书
q_hsolucky的博客
06-20 8902
k8s证书过期解决方案之替换证书
K8S 1.22.2集群搭建
qq_46103493的博客
02-21 438
K8S v1.22.2搭建
k8s- kubernetes证书过期替换之kubeadm命令 certs renew all方式
liuyij3430448的博客
04-27 5415
**k8s集群之间的访问会使用到证书,如果使用kubeadm搭建的集群,默认CA证书的有效期为10年,其他组件访问证书的有效期为1年。如果过期后没有更新证书可能会引起k8s集群的不可用**
Kubernetes-1.20.15高可用集群部署
wenqing_ruyu的博客
07-21 593
Kubernetes-1.20.15高可用集群部署
k8s证书过期处理方案
11-17
K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问。 执行命令发现报错: Unable to connect to the server: x509: certificate has expired or is not yet valid...
K8S集群ssl证书监控ssl-exporter资源清单及镜像文件
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
k8s证书修改为10年文件
06-13
k8s证书修改为10年文件
k8s 控制平面 controlPlaneEndpoint
qq_47904804的博客
08-13 543
【代码】k8s 控制平面 controlPlaneEndpoint
局域网使用kubeadm安装高可用k8s集群
zhaikaiyun的博客
03-03 8065
主机列表: ip 主机名 节点 cpu 内存 192.168.23.100 k8smaster01 master 2核 2G 192.168.23.101 k8smaster02 node 2核 2G 192.168.23.102 k8smaster03 node 2核 2G 1...
一文教会你,如何通过kubeadm,在生产环境部署K8S高可用集群
景天科技苑
01-04 1118
我们都知道,k8s中有三位大哥:kubelet, kubeadm, kubectl 其中: kubelet是服务,用来调用下层的container管理器,从而对底层容器进行管理。 kubectl是API,供我们调用,键入命令对k8s资源进行管理。 kubeadm是管理器,我们可以使用它进行k8s节点的管理。 今天,我们就基于kubeadm来详细讲讲怎么部署高可用K8S集群
kubernetes(1.23)证书过期如何续期
老段工作室
04-27 2449
通过kubeadm安装的kubernetes集群各个组件所使用证书的期限为1年,本实验练习的是到期之后如何续期。
k8s证书过期---手动更新
lcm_linux的博客
03-17 5604
背景: 执行命令发现报错: Unable to connect to the server: x509: certificate has expired or is not yet valid 这就是k8s证书过期了 k8s解决证书过期官方文档:https://kubernetes.io/zh/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/ 查看是k8s master 节点证书过期了,登录master服务器,进入 /etc/kubernetes/
k8s证书过期如何更换
08-18
解决k8s证书过期的问题,首先需要确认证书的过期时间。可以使用命令"kubeadm alpha certs check-expiration"来查看证书的过期时间。如果证书已经过期,可以使用以下方法来延长证书的有效期。 1. 使用"kubeadm alpha phase"中的certs和kubeconfig命令来解决证书过期问题。同时,可以配合kubelet证书的自动轮换机制来解决此问题。具体的操作步骤可以在网上搜索到。 请注意,以下延长证书有效期的方法适用于kubernetes 1.14、1.15、1.16、1.17和1.18版本。以下是操作步骤: 1. 首先,备份当前的证书和kubeconfig文件,以防止意外情况发生。 2. 生成新的证书和密钥文件。 3. 使用新的证书和密钥文件替换原始的证书和密钥文件。 4. 更新kubeconfig文件中的证书和密钥路径。 5. 重新启动相关的k8s组件,以使新的证书生效。 请根据你的具体情况和kubernetes版本,参考相应的文档或教程来执行上述操作。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [K8S 证书过期解决办法](https://blog.csdn.net/erhaiou2008/article/details/124168680)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值