kubelet证书过期处理方案

VIP文章 已于 2022-11-30 17:27:23 修改
阅读量3.3k 收藏 2
点赞数 3
分类专栏: k8s 文章标签: kubelet kubernetes ssl
于 2022-02-16 18:42:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33283901/article/details/122969495
版权

集群中某node状态为notReady,apiserver 报错Unable to authenticate the request due to an error: x509: certificate has expired or is not yet valid

1 查看证书有效期

openssl x509 -in /etc/ssl/k8s/kubelet.crt -noout -text

 

在证书过期node节点删除kubelet相关证书文件及配置文件然后重启kubelet,kubelet会向apiserver发起一个csr。

 

2 删除kubelet相关证书

rm  /etc/kubernetes/kubelet.kubeconfig
rm  /etc/kubernetes/ssl/kubelet.*

 

3 重启kubelet

systemctl  restart kubelet
systemctl  status  kubelet

 

4 apiserver 查看未授权的CSR请求,并授权

kubectl get csr

#获取到的csr若为csr-4pw6g
kubectl certificate approve csr-4pw6g

 

5 查看node状态

kubectl get node

 

Ready则处理完成
在kubernetes1.7之后,可以采用集群自动签发证书方案,但仍然需要手动重启kubelet, 在1.8之后,就可以自动签发,自动renew证书;也可以设置更长的有效期。

 

求知若渴,虚心若愚。
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
kubelet-serving-cert-approver:Kubelet服务TLS证书签名请求批准者
04-01
Kubelet服务证书批准者 Kubelet服务证书批准者是一个自定义批准控制器,用于批准kubernetes.io/kubelet-serving证书签名请求,kubelet用于服务TLS端点。 为什么要使用Kubelet服务证书批准者? 您想要安全地-根据受信任的证书颁发机构(CA)-到达kubelet端点 API服务器将已签名的服务证书视为有效的kubelet服务证书。 在安装期间不想使用--kubelet-insecure-tls标志 我需要商业证明吗? 否。每个Kubernetes群集都有一个群集根证书颁发机构(CA)。 如何使用Kubelet服务证书批准者? 要安装到您的Kubernetes集群中,请导航到目录。 注意:您的Kubernetes集群必须配置为启用了TLS引导,并提供了turn rotate-server-certificates: true kube
K8S证书过期解决办法之替换证书
q_hsolucky的博客
06-20 8346
k8s证书过期解决方案之替换证书
kubernetes(1.23)证书过期如何续期
老段工作室
04-27 2418
通过kubeadm安装的kubernetes集群各个组件所使用证书的期限为1年,本实验练习的是到期之后如何续期。
安装kubelet报错的解决方法
06-03
[root@xxx yum.repos.d]# yum install -y kubelet kubeadm kubectl Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile kubernetes | 1.4 kB 00:00:00 No package kubelet available. No package kubeadm available. No package kubectl available. Error: Nothing to do
kubelet:kubelet组件配置
04-29
kubelet 实施 此存储库提供了外部版本化的ComponentConfig API类型,用于配置kubelet。 这些外部类型可以很容易地由任何编写Kubernetes ComponentConfig对象的第三方工具出售和使用。 兼容性 此仓库的HEAD将与k8s.io/apiserver、k8s.io/apimachinery和k8s.io/client-go的HEAD匹配。 它从何而来? 这个仓库是从同步的。 在该位置进行代码更改,合并到k8s.io/kubernetes ,然后由机器人在此处同步。
k8s- kubernetes证书过期替换之kubeadm命令 certs renew all方式
liuyij3430448的博客
04-27 5276
**k8s集群之间的访问会使用到证书,如果使用kubeadm搭建的集群,默认CA证书的有效期为10年,其他组件访问证书的有效期为1年。如果过期后没有更新证书可能会引起k8s集群的不可用**
k8s集群证书过期kubeadm 1.10.2 )
weixin_30443731的博客
05-24 1864
1、k8s 集群架构描述 kubeadm v1.10.2创建k8s集群。 master节点高可用,三节点(10.18.60.3、10.18.60.4、10.18.60.5)。 LVS实现master三节点代理。 2、K8S集群证书过期,日志报错如下 Unable to authenticate the request due to an error: x...
kubeadm kubernetes集群证书过期处理方法
洒满阳光的午后的博客
11-16 888
动态证书重载目前还不被所有组件和证书支持,所有这项操作是必须的。正确的重启方法是临时将清单文件从 /etc/kubernetes/manifests/ 移除并等待 20 秒(参考 KubeletConfiguration 结构 中的fileCheckFrequency 值)。此时kubelet 会自动终止这些pod。pod终止后再将文件移回去,kubelet将重新创建这些pod。
kubelet 证书过期问题
qq_36864672的博客
04-14 370
如果想要调整证书有效期可以通过设置 kube-controller-manager 的 --experimental-cluster-signing-duration 参数实现,该参数默认值为。此时执行 openssl x509 -in /var/lib/kubelet/pki/kubelet-server-current.pem -noout -text | grep ‘Not' 查看kubelet证书时间。没有在重启kubelet服务之前删除/var/lib/kubelet/pki。
kubernetes集群证书过期处理
BY_xiaopeng的博客
10-17 585
kubernetes certs
k8s命令行工具kubelet
06-12
在k8s中进行一些pod的操作离不了kubelet命令行工具,而该工具在国内的下载是不太方便的,所以就上传了,这个是64位操作系统试用的,intel/amd 64位处理器 如果是arm处理器需要到去官方下载
kubelet配置详解及简单实例
09-15
主要介绍了kubelet配置详解及简单实例的相关资料,需要的朋友可以参考下
Kubernetes kubeadm 证书到期,更新证书
大漠知秋的加油站
08-27 8001
Kubernetes kubeadm 证书到期,更新证书 版本 服务 版本 CentOS 7.8 Kubernetes 1.18.x 证书问题   可能很多人在一开始学习 k8s 的时候,没有注意过证书的问题,在使用 kubeadm 安装 k8s 单机/集群的过程中就是一路往下,如果是学习或者测试使用,使用完毕之后就把虚拟机或者临时云服务器删除了,那也不会发现证书问题。如果这个 k8s 环境要使用 1 年以上,就会碰到这个问题,因为默认证书有效期为 1 年,CA 根证书是 10 年:
K8S证书过期kubelet证书轮换失败)
qq_43544123的博客
08-13 661
记一次k8s集群证书过期问题
解决K8S证书过期步骤(续一年)
weixin_41914251的博客
06-25 1745
K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/pki 路径下,kubeadm 生成的证书默认有效为 1 年,因此需要定时更新证书,否则证书到期会导致整个集群不可用。本篇文章主要介绍如何通过 kubeadm 重新生成证书。有其他的办法可以更长时间的延长证书。8、替换kubeconfig。9、查看证书时间(续一年)7、重启kubelet。4、重新生成全部证书。6、生成所有配置文件。
kubernetes报错笔记 (二) kubelet
默子昂
06-18 3773
1. 想不起来是什么时候的了 orphaned pod "82646587-78c6-47e4-9509-7d4ff8debbc0" found, but volume subpaths are still present on disk : There were a total of 2 errors similar to this. Turn up verbosity to see them. https://www.ziji.work/kubernetes/kubelet-orphane
Unable to connect to the server: x509: certificate has expired or is not yet valid
kaili_0230的博客
02-21 2170
用更新后的admin.conf替换/root/.kube/config文件。手动更新所有证书,执行命令。
查看k8s证书过期时间:各组件
学亮编程手记
02-22 4785
[root@k8s-n0 kuboard-install]# kubeadm alpha certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml' [check-expi
Kubelet containerd 管理命令 ctr常用操作
最新发布
小楼一夜听春雨,深巷明朝卖杏花
04-30 539
导入可能会出现类似于 ctr: content digest sha256:xxxxxx not found 的错误,要解决这个办法需要 pull 所有平台镜像。--all-platforms:所有平台(amd64 、arm、386 、ppc64le 等),不加的话下载当前平台架构。把已下载的容器镜像挂载至当前文件系统,是为了方便查看镜像中包含的内容。同时导出可以使用--platform导出其它平台的(例如arm)--all-platforms为导出所有平台。-q 只打印镜像名称。
kubelet证书过期
04-27
如果kubelet证书过期,可以通过以下步骤进行更新: 1. 生成新的证书和私钥 可以使用openssl命令生成新的证书和私钥,例如: ``` openssl genrsa -out kubelet.key 2048 openssl req -new -key kubelet.key -out ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

求知若渴,虚心若愚。

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值