kubeadm方式部署的k8s修改证书年限

最新推荐文章于 2024-04-14 21:11:30 发布
最新推荐文章于 2024-04-14 21:11:30 发布
阅读量1.5k 收藏 7
点赞数
分类专栏: 容器 文章标签: kubernetes docker linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34288630/article/details/125274010
版权

说明

kubeadm方式部署的k8s默认证书的年限为1一年,当集群更新时,证书也会更新,如果集群每年都会更新,那么证书年限就不用修改。但是大部分情况下,为了保证线上环境稳定,集群很少去修改。所以需要将证书时间修改一下。

查看集群证书有效期

进入目录

cd /etc/kubernetes/pki/

查看有效期

openssl x509 -in apiserver.crt  -text -noout

在这里插入图片描述

安装go环境

cd /data/
wget https://dl.google.com/go/go1.13.4.linux-amd64.tar.gz
tar -xf go1.12.7.linux-amd64.tar.gz -C /usr/local/

在这里插入图片描述
在这里插入图片描述
配置go环境变量
/etc/profile最末尾添加
export PATH=$PATH:/usr/local/go/bin

vim /etc/profile

刷新配置变量生效

source /etc/profile

此时安装完毕,查看版本

go version

在这里插入图片描述

克隆k8s的项目(需要一段时间)

git clone https://github.com/kubernetes/kubernetes.git

在这里插入图片描述

查看kubeadm版本

kubeadm version

kubeadm version: &version.Info{Major:"1", Minor:"18", GitVersion:"v1.18.0", GitCommit:"9e991415386e4cf155a24b1da15becaa390438d8", GitTreeState:"clean", BuildDate:"2020-03-25T14:56:30Z", GoVersion:"go1.13.8", Compiler:"gc", Platform:"linux/amd64"}

在这里插入图片描述

切换到新的版本

cd kubernetes/
git checkout -b remotes/origin/release-1.18.0  v1.18.0

在这里插入图片描述

修改 Kubeadm 源码包更新证书策略

vim cmd/kubeadm/app/util/pkiutil/pki_helpers.go

找到NewSignedCert方法

// NewSignedCert creates a signed certificate using the given CA certificate and key
func NewSignedCert(cfg *certutil.Config, key crypto.Signer, caCert *x509.Certificate, caKey crypto.Signer) (*x509.Certificate, error) {
        const duration365d = time.Hour * 24 * 365 * 10   #新增一个常量,这个意思是1个小时*24*365*10=10年
        serial, err := cryptorand.Int(cryptorand.Reader, new(big.Int).SetInt64(math.MaxInt64))
        if err != nil {
                return nil, err
        }
        if len(cfg.CommonName) == 0 {
                return nil, errors.New("must specify a CommonName")
        }
        if len(cfg.Usages) == 0 {
                return nil, errors.New("must specify at least one ExtKeyUsage")
        }

        certTmpl := x509.Certificate{
                Subject: pkix.Name{
                        CommonName:   cfg.CommonName,
                        Organization: cfg.Organization,
                },
                DNSNames:     cfg.AltNames.DNSNames,
                IPAddresses:  cfg.AltNames.IPs,
                SerialNumber: serial,
                NotBefore:    caCert.NotBefore,
                NotAfter:     time.Now().Add(kubeadmconstants.CertificateValidity).UTC(),  #改为time.Now().Add(duration365d).UTC(),
                KeyUsage:     x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature,
                ExtKeyUsage:  cfg.Usages,
        }
        certDERBytes, err := x509.CreateCertificate(cryptorand.Reader, &certTmpl, caCert, key.Public(), caKey)
        if err != nil {
                return nil, err
        }

编译kubeadm

在当前源码路径下
cd kubernetes/

make WHAT=cmd/kubeadm GOFLAGS=-v
cp _output/bin/kubeadm /root/kubeadm-new

更新 kubeadm(更新之前先备份)

将 kubeadm 进行替换

[root@k8s-master ~]# cp /usr/bin/kubeadm  /usr/bin/kubeadm.old
[root@k8s-master ~]# cp /root/kubeadm-new /usr/bin/kubeadm
cp:是否覆盖"/usr/bin/kubeadm"? y
[root@k8s-master ~]# chmod +x /usr/bin/kubeadm

备份pki目录

cp -r /etc/kubernetes/pki /etc/kubernetes/pki.old

生成证书文件(这个config文件是初始化集群时候的配置)

 kubeadm alpha certs renew all --config=/data/kubeadm-config.yaml

生成集群的配置文件及查看
如果集群没有kubeadm-config.yaml文件,可以生成一个k8s的初始化文件

kubeadm config view > /data/kubeadm-config.yaml

[root@k8s-master ~]# kubeadm alpha certs renew all --config=/data/kubeadm-config.yaml
certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself renewed
certificate for serving the Kubernetes API renewed
certificate the apiserver uses to access etcd renewed
certificate for the API server to connect to kubelet renewed
certificate embedded in the kubeconfig file for the controller manager to use renewed
certificate for liveness probes to healtcheck etcd renewed
certificate for etcd nodes to communicate with each other renewed
certificate for serving etcd renewed
certificate for the front proxy client renewed

查看证书的年限

[root@k8s-master ~]# cd /etc/kubernetes/pki
[root@k8s-master pki]# openssl  x509 -in apiserver.crt  -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 3637387775685121508 (0x327a98e9080f55e4)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=kubernetes
        Validity
            Not Before: Apr 27 09:50:35 2022 GMT
            Not After : Apr 11 06:48:21 2032 GMT

在这里插入图片描述

更新各节点证书

master上执行,替换xx.xx.xxx为各个节点ip

[root@k8s-node01 pki]# scp root@xx.xx.xxx:/etc/kubernetes/pki/ca.crt  ./
奈斯菟咪踢呦
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
kubeadm方式部署k8s
02-11
Kubernetes(简称k8s)是Google开源的一种容器编排系统,用于自动化容器化的应用程序部署、扩展和管理。kubeadmKubernetes提供的一种简单、可靠的方式来在集群中初始化节点和搭建控制平面,使得部署Kubernetes变得...
k8s设置永久证书
Dang_Ni的博客
08-04 278
修改cmd/kubeadm/app/util/pkiutil/pki_helpers.go文件,大概在653行。6、重新生成证书(如果有多个master,则每个master都需要重新生成证书)2、下载k8s源码(与需要更新永久证书k8s集群版本一致)4、备份原来的kubeadm证书文件,避免出错还原。5、将新编译的kubeadm复制到指定目录。3、编译新的kubeadm。7、重启kubelet服务。8、确认证书是否更新。
kubernetes(1.23)证书过期如何续期
老段工作室
04-27 2556
通过kubeadm安装的kubernetes集群各个组件所使用证书的期限为1年,本实验练习的是到期之后如何续期。
kubernetes集群更换证书(设置100年证书)
菜鸟运维升级之路
04-14 558
操作系统: centos7.9 x86_64安装方式: kubeadm
k8s- kubernetes证书过期替换之kubeadm命令 certs renew all方式
liuyij3430448的博客
04-27 5708
**k8s集群之间的访问会使用到证书,如果使用kubeadm搭建的集群,默认CA证书有效期为10年,其他组件访问证书有效期为1年。如果过期后没有更新证书可能会引起k8s集群的不可用**
k8s证书100年到期
qwert1920的博客
01-04 1661
下载特定版本源码1234或者使用 git 获取12345。
kubeadm初始化k8s证书过期解决方案
最新发布
05-23
本文档主要介绍关于kubenertes通过kubeadm初始化k8s时所涉及的证书在面临过期时所采取的解决方案
生产环境 kubeadm部署k8s
04-09
生产环境 kubeadm部署k8s 包括master高可用
Kubeadm生成的k8s证书内容说明
05-22
本文档主要讲解了kubeadm生成了哪些证书,这些证书分别应用在什么地方,各处分别有几个证书证书放在哪里,这有利于安装者熟练掌握证书的信息,知道去哪里找,定位问题时去哪里核对。
kubeadm初始化k8s集群延长证书过期时间.bash
06-01
kubeadm初始化k8s集群延长证书过期时间
Kubernetes集群更换证书(正常更新方法、和更新证书为99年)
m0_59308369的博客
12-14 6445
今天使用k8s集群发现报错。查看kubelet状态,发现无法启动, 查看docker服务,发现api-server也没用启动enabled;3s ago查看日志 ,发现报错找不到 bootstrap-kubelet.conf。
K8S 证书过期后,kubeadm 重新生成证书
热门推荐
艾希射日
07-20 1万+
K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/pki 路径下,kubeadm 生成的证书默认有效为 1 年,因此需要定时更新证书,否则证书到期会导致整个集群不可用。 本篇文章主要介绍如何通过 kubeadm 重新生成证书。 一. 检查证书是否过期。 可以通过下面两种方式检查 Kubernetes证书是否过期。 1. kubeadm 命令查看 可以通过 kubeadm alpha certs check-expiration 命令查看相关证
Kubeadm 证书自定义时间
老实人的博客
02-29 1058
修改 Kubeadm 源码中的 Kubernetes 证书过期时间为100年。
kubeadm证书过期更新
V_zhangyang的博客
04-16 312
执行时请使用 ./update-kubeadm-cert.sh all 或者 bash update-kubeadm-cert.sh all ,不要使用 sh update-kubeadm-cert.sh all,因为某些 Linux 发行版 sh 并不是链接到 bash,可能会不兼容。该脚本只处理 master 节点上的证书,node 节点的 kubelet 证书默认自动轮换更新,无需关心过期问题,只需关心 master 节点上的证书即可。#ca证书有效期10年,apiserver证书有效期1年。
k8s集群证书有效期修改
xhredeem的博客
01-16 2987
kubeadm 部署k8s集群证书有效期修改
Kubernets证书篇:kubernetes1.24.12证书修改时间限制》
东城绝神
04-04 529
Kubernets证书篇:kubernetes1.24.12证书修改时间限制》
Kubeadm生成的k8s证书内容说明以及延长证书过期时间
weixin_43258559的博客
03-23 1620
kubeadm 部署Kubernetes 集群是以 pod 的方式运行 etcd 服务的, 在该 pod 的定义中, 配置了 Liveness 探活探针。
Kubernetes kubeadm 证书到期,更新证书
大漠知秋的加油站
08-27 8212
Kubernetes kubeadm 证书到期,更新证书 版本 服务 版本 CentOS 7.8 Kubernetes 1.18.x 证书问题   可能很多人在一开始学习 k8s 的时候,没有注意过证书的问题,在使用 kubeadm 安装 k8s 单机/集群的过程中就是一路往下,如果是学习或者测试使用,使用完毕之后就把虚拟机或者临时云服务器删除了,那也不会发现证书问题。如果这个 k8s 环境要使用 1 年以上,就会碰到这个问题,因为默认证书有效期为 1 年,CA 根证书是 10 年:
安装vmware搭建k8s集群(亲试无坑)
奈斯菟咪踢呦
07-22 7301
前言 准备环境 环境 说明 宿主机 windows10 vmware 版本v16 centos(使用 cat /etc/redhat-release 查看) centos Linux Release 7.9.2009(core) linux内核(使用uname -r查看) 3.10.0-1160.e17.x86_64 虚拟机 说明 192.168.3.129 Master 192.168.3.134 node1 centos ...
kubeadm部署k8s_运维工程师必备技能:kubeadm快速部署K8s集群【最新版】
05-21
kubeadmKubernetes官方推出的一个命令行工具,用于快速部署Kubernetes集群。使用kubeadm可以方便地部署一个符合最佳实践的Kubernetes集群,并且支持多种网络插件和存储插件。 以下是使用kubeadm快速部署Kubernetes集群的步骤: 1. 准备好至少3台服务器,每台服务器的操作系统为Ubuntu 16.04或以上版本。 2. 在所有服务器上安装Dockerkubelet组件。 3. 在其中一台服务器上执行kubeadm init命令,初始化Kubernetes集群。 4. 将初始化Kubernetes集群时输出的join命令复制到其他服务器上执行,加入到Kubernetes集群中。 5. 配置Kubernetes网络插件,如Flannel或Calico。 6. 配置Kubernetes存储插件,如Ceph、NFS等。 7. 部署Kubernetes Dashboard,方便管理Kubernetes集群。 8. 部署Kubernetes应用程序,如部署一个Nginx应用程序。 使用kubeadm快速部署Kubernetes集群需要熟悉Linux系统和Kubernetes基础知识,对集群网络和存储也需要有一定的了解。同时,需要注意选择适合自己的网络插件和存储插件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值