Kubernetes之更新CA证书

已于 2024-06-15 11:18:39 修改
阅读量417 收藏 3
点赞数 17
分类专栏: 容器 文章标签: kubernetes 容器 云原生 云计算 运维开发 运维 linux
于 2024-05-13 12:16:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33906471/article/details/138796984
版权

目录

查看证书时间

自签CA证书

替换CA证书

更新证书

更新 ~/.kube/config 文件

重启静态Pod

查看证书时间

        Kubernetes集群的ca证书默认是10年,其他证书的有效期是1年,当证书过期以后集群无法正常执行命令,所以需要更新证书。Kubernetes官方提供的更新方案是更新组件的证书不能更新CA证书,那CA证书该怎么调整呢,我查阅资料后了解到可以在部署Kubernetes集群的时候修改源代码把CA证书的时间调整长一些,但是这个是新集群,已经存在的集群怎么在线更新呢,据了解好像还有方法但是需要解散集群,然后在我的测试下找到一种不影响集群就能在线更新CA证书的方法,接下来我就把这个方法分享给大家,请大家批评指正。

查看证书时间

[root@master ~]# kubeadm certs check-expiration
[check-expiration] Reading configuration from the cluster...
[check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -o yaml'

CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
admin.conf                 Nov 28, 2024 06:55 UTC   349d                                    no      
apiserver                  Nov 28, 2024 06:55 UTC   349d            ca                      no      
apiserver-etcd-client      Nov 28, 2024 06:55 UTC   349d            etcd-ca                 no      
apiserver-kubelet-client   Nov 28, 2024 06:55 UTC   349d            ca                      no      
controller-manager.conf    Nov 28, 2024 06:55 UTC   349d                                    no      
etcd-healthcheck-client    Nov 28, 2024 06:55 UTC   349d            etcd-ca                 no      
etcd-peer                  Nov 28, 2024 06:55 UTC   349d            etcd-ca                 no      
etcd-server                Nov 28, 2024 06:55 UTC   349d            etcd-ca                 no      
front-proxy-client         Nov 28, 2024 06:55 UTC   349d            front-proxy-ca          no      
scheduler.conf             Nov 28, 2024 06:55 UTC   349d                                    no      

CERTIFICATE AUTHORITY   EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
ca                      Nov 26, 2033 06:55 UTC   9y              no      
etcd-ca                 Nov 26, 2033 06:55 UTC   9y              no      
front-proxy-ca          Nov 26, 2033 06:55 UTC   9y              no

自签CA证书

mkdir ssl
cd ssl
MASTER_IP=‘192.168.207.131’
openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -subj "/CN=${MASTER_IP}" -days 10000 -out ca.crt

替换CA证书

cp ca.* /etc/kubernetes/pki

cp ca.crt /etc/kubernetes/pki/front-proxy-ca.crt
cp ca.key /etc/kubernetes/pki/front-proxy-ca.key

cp ca.* /etc/kubernetes/pki/etcd

更新证书

kubeadm certs renew all

# 重启相关容器
docker ps | grep -v pause | grep -E "etcd|scheduler|controller|apiserver" | awk '{print $1}' | 
awk '{print "docker","restart",$1}' | bash

更新 ~/.kube/config 文件

mv ~/.kube/config ~/.kube/config.old
cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
chown $(id -u):$(id -g) $HOME/.kube/config
sudo chmod 644 $HOME/.kube/config

重启静态Pod

mkdir -p /backup
mv /etc/kubernetes/manifests/*.yaml /backup/

# 然后等待大概30秒再移动回去
mv /backup/*.yaml /etc/kubernetes/manifests

查看证书时间

[root@master ssl]# kubeadm certs check-expiration
[check-expiration] Reading configuration from the cluster...
[check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -o yaml'

CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
admin.conf                 Dec 14, 2024 01:04 UTC   364d                                    no      
apiserver                  Dec 14, 2024 01:04 UTC   364d            ca                      no      
apiserver-etcd-client      Dec 14, 2024 01:04 UTC   364d            etcd-ca                 no      
apiserver-kubelet-client   Dec 14, 2024 01:04 UTC   364d            ca                      no      
controller-manager.conf    Dec 14, 2024 01:04 UTC   364d                                    no      
etcd-healthcheck-client    Dec 14, 2024 01:04 UTC   364d            etcd-ca                 no      
etcd-peer                  Dec 14, 2024 01:04 UTC   364d            etcd-ca                 no      
etcd-server                Dec 14, 2024 01:04 UTC   364d            etcd-ca                 no      
front-proxy-client         Dec 14, 2024 01:04 UTC   364d            front-proxy-ca          no      
scheduler.conf             Dec 14, 2024 01:04 UTC   364d                                    no      

CERTIFICATE AUTHORITY   EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
ca                      May 02, 2051 00:55 UTC   27y             no      
etcd-ca                 May 02, 2051 00:55 UTC   27y             no      
front-proxy-ca          May 02, 2051 00:55 UTC   27y             no

畅云客
关注
  • 17
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes中的证书工作机制详解
11-29
此外,Kubernetes 提供了证书管理工具,如 cert-manager,帮助自动化证书的签发、更新和撤销流程。 了解 Kubernetes 中的证书工作机制对于集群管理员来说至关重要,因为正确配置和管理证书能够保护集群免受未授权...
Unable to connect to the server: x509: certificate has expired or is not yet valid
weixin_54104864的博客
06-15 6196
【代码】Unable to connect to the server: x509: certificate has expired or is not yet valid。
K8S异常之Unable to connect to the server: x509: certificate has expired or is not yet valid
一掬净土
01-03 8795
K8S异常之Unable to connect to the server: x509: certificate has expired or is not yet valid
Docker报错:x509: certificate has expired or is not yet valid
热门推荐
.
08-04 2万+
一、问题描述 Docker pull镜像的时候 出现错误 x509: certificate has expired or is not yet valid 二、解决问题 x509: certificate has expired or is not yet valid X509:证书已过期或尚未有效 两种情况: 证书已经过期了 证书是没有问题的,但是系统时间不对 1、检查系统时间 [root@localhost ~]# date 系统时间不对 修改系统时间 更新时间同步即可:ntp
查看k8s证书过期时间:各组件
学亮编程手记
02-22 4895
[root@k8s-n0 kuboard-install]# kubeadm alpha certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml' [check-expi
使用OpenSSL生成Kubernetes证书的介绍
09-30
总结起来,使用OpenSSL生成Kubernetes证书涉及多个步骤,包括创建私钥、CA证书、服务器私钥、CSR以及最终的服务器证书。了解并熟练掌握这一过程对于管理Kubernetes的安全性至关重要。在实际操作中,可能还需要根据...
Kubernetes 证书一键生成(包含 etcd 证书)
04-30
在生产环境中,Kubernetes集群通常使用权威CA签发的证书,以提供更高级别的信任。但在测试或开发环境中,自签名证书可能是更方便的选择。这个工具可能支持这两种情况。 **证书分发** 生成证书后,需要将它们部署到...
k8s 1.23.17版本kubeadm 100年CA有效期
09-20
使用yum -y install kubelet-1.23.17 kubeadm-1.23.17 kubectl-1.23.17安装...初始化之前,用自编译 kubeadm替换官方的kubeadm:`/usr/bin/kubeadm`,可将证书过期时间改为 `100` 年,基于` 1.23.17` 版本的 kubernetes
k8s自签证书过期x509: certificate has expired or is not yet valid报错
Rory的博客
12-28 2812
使用kubelet get node后报错,x509: certificate has expired or is not yet valid,提示证书过期。
实测:重启服务器之后k8s启动失败报错Unable to connect to the server:x509: certificate has expired or is not yet valid
sfdst的博客
03-07 6898
文章目录1 问题描述(kubeadm证书/etcd证书过期处理)2 集群恢复方法3 手动替换apiserver证书3.1 备份证书和配置3.2 自备的kube-config.yaml文件4 通过脚本一键更新证书(本次通过脚本更新证书)5 启用自动轮换kubelet证书5.1 增加kubelet参数5.2 增加controller-manager参数5.3 创建rbac对象 1 问题描述(kubeadm证书/etcd证书过期处理) 重启了服务器,发现k8s启动失败,一直报错连接 Unable to regis
k8s v1.16.3,Unable to connect to the server: x509: certificate has expired or is not yet valid
最新发布
牛奔的博客
03-27 526
前言 kubernetes 版本为 v1.16.3 使用 kubelet get node 后报错: x509: certificate has expired or is not yet valid ,提示证书过期。 解决 检查证书何时过期 kubeadm alpha certs check-expiration CERTIFICATE EXPIRES ...
k8s组件证书过期:Unable to connect to the server: x509: certificate has expired or is not yet valid
llg___的博客
11-28 1186
Unable to connect to the server: x509: certificate has expired or is not yet valid自己服务的pod重启后数量一直会为0。K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/pki 路径下,由 kubeadm 生成的客户端证书在 1 年后到期,因此需要定时更新证书,否则证书到期会导致整个集群不可用。今天遇到一个k8s证书过期问题,记录下解决方法。
k8s报错:Unable to connect to the server: x509: certificate has expired or is not yet valid
qq_42448043的博客
01-02 8337
问题现象:kubernetes集群部署过程中,kubectl相关命令不可用,报错:Unable to connect to the server: x509: certificate has expired or is not yet valid。过一段时间又可以正常使用。 解决方案:检查生成证书的机器的时间是否与master、node节点时间同步,若生成证书机器的时间早于master、node...
k8s集群证书过期后,如何更新k8s证书
谢小鱼的博客
08-21 1509
k8s集群证书过期后,如何更新k8s证书
Unable to connect to the server: x509: certificate has expired or is not yet valid,k8s证书过期的解决方案之一
ChuaWi98的博客
02-29 941
Unable to connect to the server: x509: certificate has expired or is not yet valid,k8s证书过期的解决方案之一
kubeadm相关指令出现kubeadm-config无法找到的问题解决
为梦想奋斗
07-03 1597
问题的现象是凡是执行kubeadm相关的指令,如kubeadm upgrade plan等,都会出现类似以下的错误
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值