Kubernetes之更新证书

已于 2024-05-13 12:07:31 修改
阅读量345 收藏
点赞数 6
分类专栏: 容器 文章标签: kubernetes 容器 云原生 运维 linux 运维开发 云计算
于 2024-05-13 12:07:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33906471/article/details/138796783
版权

目录

查看证书何时过期

更新证书

更新 ~/.kube/config 文件

重启相关服务

        Kubernetes集群的ca证书默认是10年,其他证书的有效期是1年,当证书过期以后集群无法正常执行命令,所以需要更新证书。证书更新分为自动更新和手动更新,当集群升级的时候,证书会自动更新。这里我们主要说的是手动更新。

查看证书何时过期

kubeadm certs check-expiration

[root@master ~]# kubeadm certs check-expiration
[check-expiration] Reading configuration from the cluster...
[check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -o yaml'

CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
admin.conf                 Nov 28, 2024 06:55 UTC   357d                                    no      
apiserver                  Nov 28, 2024 06:55 UTC   357d            ca                      no      
apiserver-etcd-client      Nov 28, 2024 06:55 UTC   357d            etcd-ca                 no      
apiserver-kubelet-client   Nov 28, 2024 06:55 UTC   357d            ca                      no      
controller-manager.conf    Nov 28, 2024 06:55 UTC   357d                                    no      
etcd-healthcheck-client    Nov 28, 2024 06:55 UTC   357d            etcd-ca                 no      
etcd-peer                  Nov 28, 2024 06:55 UTC   357d            etcd-ca                 no      
etcd-server                Nov 28, 2024 06:55 UTC   357d            etcd-ca                 no      
front-proxy-client         Nov 28, 2024 06:55 UTC   357d            front-proxy-ca          no      
scheduler.conf             Nov 28, 2024 06:55 UTC   357d                                    no      

CERTIFICATE AUTHORITY   EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
ca                      Nov 26, 2033 06:55 UTC   9y              no      
etcd-ca                 Nov 26, 2033 06:55 UTC   9y              no      
front-proxy-ca          Nov 26, 2033 06:55 UTC   9y              no

更新证书

更新证书时,可以对证书进行备份,防止出现意外情况

# 当升级证书失败时, 可以将此文件夹复原, 即可恢复原有集群
cp -r /etc/kubernetes /etc/kubernetes.old

# 更新证书
kubeadm certs renew all

[root@master ~]# kubeadm certs renew all
[renew] Reading configuration from the cluster...
[renew] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -o yaml'

certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself renewed
certificate for serving the Kubernetes API renewed
certificate the apiserver uses to access etcd renewed
certificate for the API server to connect to kubelet renewed
certificate embedded in the kubeconfig file for the controller manager to use renewed
certificate for liveness probes to healthcheck etcd renewed
certificate for etcd nodes to communicate with each other renewed
certificate for serving etcd renewed
certificate for the front proxy client renewed
certificate embedded in the kubeconfig file for the scheduler manager to use renewed

Done renewing certificates. You must restart the kube-apiserver, kube-controller-manager, kube-scheduler and etcd, so that they can use the new certificates.

更新 ~/.kube/config 文件

mv ~/.kube/config ~/.kube/config.old
cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
chown $(id -u):$(id -g) $HOME/.kube/config
sudo chmod 644 $HOME/.kube/config

重启相关服务

docker ps | grep -v pause | grep -E "etcd|scheduler|controller|apiserver" | awk '{print $1}' | awk '{print "docker","restart",$1}' | bash

# 重启以后查看证书时间发现已经更新
[root@master ~]# kubeadm certs check-expiration
[check-expiration] Reading configuration from the cluster...
[check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -o yaml'

CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
admin.conf                 Dec 05, 2024 10:03 UTC   364d                                    no      
apiserver                  Dec 05, 2024 10:03 UTC   364d            ca                      no      
apiserver-etcd-client      Dec 05, 2024 10:03 UTC   364d            etcd-ca                 no      
apiserver-kubelet-client   Dec 05, 2024 10:03 UTC   364d            ca                      no      
controller-manager.conf    Dec 05, 2024 10:03 UTC   364d                                    no      
etcd-healthcheck-client    Dec 05, 2024 10:03 UTC   364d            etcd-ca                 no      
etcd-peer                  Dec 05, 2024 10:03 UTC   364d            etcd-ca                 no      
etcd-server                Dec 05, 2024 10:03 UTC   364d            etcd-ca                 no      
front-proxy-client         Dec 05, 2024 10:03 UTC   364d            front-proxy-ca          no      
scheduler.conf             Dec 05, 2024 10:03 UTC   364d                                    no      

CERTIFICATE AUTHORITY   EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
ca                      Nov 26, 2033 06:55 UTC   9y              no      
etcd-ca                 Nov 26, 2033 06:55 UTC   9y              no      
front-proxy-ca          Nov 26, 2033 06:55 UTC   9y              no

畅云客
关注
专栏目录
Kubeadm手动更新证书
每天都要开心呀(#^.^#)
05-19 1157
kubeadm certs续约证书
云原生kuberneteskubernetes集群证书管理
jks212454的博客
10-15 538
云原生kuberneteskubernetes集群证书管理
Kubernetes 证书一键生成(包含 etcd 证书)
04-30
执行证书后,可以根据配置文件一键生成 Kubernetes证书与etcd 证书,可以免去手动生成,资源包括配置文件,与Linux可执行文件
kubernetes证书更新
虫虫的博客
02-21 1337
kubernetes证书更新
Kubernetes集群更换证书(正常更新方法、和更新证书为99年)
虫虫的博客
03-29 1658
Kubernetes集群更换证书(正常更新方法、和更新证书为99年)
Kubenetes更新证书
xxzblog的专栏
03-27 348
Kubenetes更新证书
Kubernetes证书篇:手动生成二进制kubernetes集群相关证书
东城绝神
04-24 1850
《《Kubernetes证书篇:二进制手动生成kubernetes集群相关证书
更新Kubernetes集群证书
lyyao09的博客
07-27 1139
Kubernetes集群证书的使用寿命为一年。如果Kubernetes集群证书Kubernetes master节点上过期,则kubelet服务将失败。使用kubectl命令,例如kubectel get pod或kubectl exec -it container_name bash,将导致类似的消息: Unable to connect to the server: x509: certif...
运维案例之记一次Kubernetes集群证书过期或延期操作处理实践指南
WeiyiGeek 唯一极客IT知识分享
02-06 709
在年后上班的第一天,我像往常一样,登录到K8S集群之中依次检查应用,在检查开发测试环境的k8s集群时,发现执行kubectl命令报证书过期错误,顿时心情都不好了,却也无可奈何,只能进行证书续签了,由于是高可用集群遇到了许多坑,为了方便自己以及广大的运维工作者,解决相关问题,遂整理了此篇文章。# 连接 Api-server 失败,报证书已过期不可用。2.实践环境# 集群版本# 集群节点# 论保存过程配置文件的重要性,在搭建k8s集群时建议备份资源清单。
kubernetes certs update 【证书更新
爱死亡机器人
07-25 1091
查看 kubelet是否支持证书自动轮换,默认轮换的证书位于目录。查看集群指定证书位置。备份 kubelet。
kubernetes已经过期的证书更新
一个行走江湖的人
07-07 340
【代码】已经过期的证书更新
kubernetes v1.19.2 证书过期更新
RSQ博客
05-12 1280
证书过期报错 [root@k8s-master-ant ~]# kubectl get node Unable to connect to the server: x509: certificate has expired or is not yet valid: current time 2021-05-12T10:22:38+08:00 is after 2021-05-11T12:02:22Z 解决办法: 1、生成集群的配置文件(集群部署时最好留的有kubeadm.yaml,否则改起来稍微麻烦些)
k8s- kubernetes证书过期替换之kubeadm命令 certs renew all方式
liuyij3430448的博客
04-27 6351
**k8s集群之间的访问会使用到证书,如果使用kubeadm搭建的集群,默认CA证书的有效期为10年,其他组件访问证书的有效期为1年。如果过期后没有更新证书可能会引起k8s集群的不可用**
kubeadm 更新证书
liulu07的博客
07-22 198
k8s 证书更新记录
k8s相关证书更新
weixin_42323738的博客
03-13 1204
k8s证书更新
kubeadm更新证书(1.23.4版本)
运维那些事儿
04-14 3792
1、查看证书到期时间 kubeadm certs check-expiration 1.1、输出如下内容 [root@master pki]# kubeadm certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get c
Kubernetes 集群证书更新教程
最新发布
gitblog_00343的博客
08-10 313
Kubernetes 集群证书更新教程 update-kube-certK8s 集群证书过期处理,更新 kubeadm 生成的证书有效期为 10 年。支持全部版本。项目地址:https://gitcode.com/gh_mirrors/up/update-kube-cert 项目介绍 update-kube-cert 是一个用于处理 Kubernetes 集群证书过期问题的开源项目。该项目的主要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值