# kubeadm安装的k8s证书过期处理

最新推荐文章于 2024-02-20 17:29:22 发布
最新推荐文章于 2024-02-20 17:29:22 发布
阅读量418 收藏
点赞数
文章标签: kubernetes linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50119948/article/details/116431223
版权

kubeadm安装的k8s集群证书过期处理

kubeadm安装的k8s证书过期处理

一、背景说明

  1. kubeadm默认证书为一年,一年过期后,会导致api service不可用,使用过程中会出现:x509: certificate has expired or is not yet valid
  2. kubelet证书分为serverclient两种, k8s1.9开始默认启用了client证书的自动轮换,但server证书自动轮换需要用户配置开启

二、开启server证书自动轮换

此方案适用于证书还未过期

1. 增加kubelet参数

#在/etc/sysconfig/kubelet增加,若多master,都需要配置:
KUBELET_EXTRA_ARGS=--feature-gates=RotateKubeletServerCertificate=true --rotate-server-certificates=true

2. 配置kube-controller-manager

cat /etc/kubernetes/manifests/kube-controller-manager.yaml
apiVersion: v1
kind: Pod
metadata:
creationTimestamp: null
labels:
component: kube-controller-manager
tier: control-plane
name: kube-controller-manager
namespace: kube-system
spec:
containers:
- command:
- kube-controller-manager
- --experimental-cluster-signing-duration=87600h0m0s #增加证书颁发时间参数
- --feature-gates=RotateKubeletServerCertificate=true #开启server证书签发
- --allocate-node-cidrs=true

3. 创建rbac对象,允许节点轮换kubelet server证书

cat > ca-update.yaml << EOF
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
annotations:
rbac.authorization.kubernetes.io/autoupdate: "true"
labels:
kubernetes.io/bootstrapping: rbac-defaults
name: system:certificates.k8s.io:certificatesigningrequests:selfnodeserver
rules:
- apiGroups:
- certificates.k8s.io
resources:
- certificatesigningrequests/selfnodeserver
verbs:
- create
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: kubeadm:node-autoapprove-certificate-server
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: system:certificates.k8s.io:certificatesigningrequests:selfnodeserver
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: Group
name: system:nodes
EOF
kubectl apply -f ca-update.yaml

4. 重启kubelet

systemctl restart kubelet
#查看csr,状态会由Pending to Approved
kubectl get csr

5. 多master其他节点一直处于Pending

#出于安全原因,处于pending状态的master节点需要手动审批
kubectl certificate approve <name>

三、替换server证书

此方案适用于证书已过期,处理完成后,再执行开启server证书自动轮换

1. 报错信息

kubectl get po
Unable to connect to the server: x509: certificate has expired or is not yet valid

2. 证书备份

cp -Ra /etc/kubernetes /opt/kubernetes-backup-time

3. 删除过期证书

#apiserver证书
rm -f /etc/kubernetes/pki/apiserver*
#front-proxy-client证书
rm -f /etc/kubernetes/pki/front-proxy-client.*
#etcd证书,若etcd是部署在集群外自签证书,不执行以下命令
rm -rf /etc/kubernetes/pki/etcd/healthcheck-client.*
rm -rf /etc/kubernetes/pki/etcd/server.*
rm -rf /etc/kubernetes/pki/etcd/peer.*

4. 重新生成证书

#下载对应版本的kubeadm
wget https://dl.k8s.io/release/v1.10.1/bin/linux/amd64/kubeadm
chmod a+x kubeadm
#生成证书,若使用HA需要配置成vip地址
./kubeadm alpha phase certs all --apiserver-advertise-address <IP address of your master server>

5. 重新生成配置文件

#备份配置文件
mv /etc/kubernetes/*.conf /tmp
#生成配置文件
./kubeadm alpha phase kubeconfig all --apiserver-advertise-address <IP address of your master server>

6. 重启kubelet

systemctl restart kubelet

7. 验证集群

#查看证书过期时间
openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not '
#集群节点状态
kubectl get no

四、参考

JulySeven_ju
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
kubeadm初始化k8s证书过期解决方案
05-23
### kubeadm初始化k8s证书过期解决方案 #### 概述 Kubernetes(简称k8s)作为当前主流的容器编排工具之一,在实际部署过程中常常采用kubeadm进行快速部署与管理。然而,在长期运行的过程中,kubeadm初始化时生成的...
k8s证书过期处理方案
11-17
本文主要探讨的是针对kubeadm部署的Kubernetes集群中证书过期处理流程。 首先,识别证书过期的标志是关键。当你尝试执行`kubectl`命令时,如果出现类似“Unable to connect to the server: x509: certificate has...
如何处理 Kubeadm 搭建的集群证书过期问题
杂货铺子
11-06 6476
Kubeadm 证书过期处理 以下内容参考了如下链接:https://www.cnblogs.com/skymyyang/p/11093686.html 一、处理证书过期的集群 使用 kubeadm 搭建的集群,默认证书有效期是 1 年。如果没有在证书过期前续期,那么集群会无法运行,使用的过程中会报如下错误: x509: certificate has expired or is not yet valid. 查看当前 kubeadm 搭建的集群证书有效期信息,命令如下: [@master74-53
Kubeadm安装K8S集群1年证书过期问题的解决思路
weixin_30509393的博客
03-07 1824
这个问题,很多使用使用kubeadm的用户都会遇到。 网上也有类似的帖子,从源代码编译这种思路, 在生产环境,有些不现实。 还是使用kubeadm的命令操作,比较自然一点。 当然,自行生成一套证书,也是在新安装集群里,可以考虑的方案。 =============================================== .问题起源 kubeadmku...
kubeadm初始化k8s集群延长证书过期时间
weixin_38320674的博客
04-24 3661
前言kubeadm初始化k8s集群,签发的CA证书有效期默认是10年,签发的apiserver证书有效期默认是1年,到期之后请求apiserver会报错,使用openssl命令查询相关证...
Kubernetes kubeadm 证书到期,更新证书
山巅
02-20 430
k8s 证书 续期
Kubernetes集群证书过期解决办法
GGB_GG的博客
02-20 2166
K8S过期之前,使用kubeadm alpha phase里的certs和kubeconfig命令,同时配合kubelet证书自动轮换机制来解决这个问题(具体操作可以百度搜索),这里介绍证书已经过期的解决方法,以下延长证书过期的方法适合kubernetes1.14、1.15、1.16、1.17、1.18版本。并不会更新 kubelet 证书kubelet.conf 文件里面写的客户端证书),因为 kubelet 证书是默认开启自动轮回更新的,但是在执行。,没有自动更新 slave 节点。
kubeadm初始化k8s集群延长证书过期时间.bash
06-01
kubeadm初始化k8s集群延长证书过期时间
k8s 1.23.17版本kubeadm 100年CA有效期
09-20
使用yum -y install kubelet-1.23.17 kubeadm-1.23.17 kubectl-1.23.17安装...初始化之前,用自编译 kubeadm替换官方的kubeadm:`/usr/bin/kubeadm`,可将证书过期时间改为 `100` 年,基于` 1.23.17` 版本的 kubernetes
K8s源码文件,可用于设置证书过期时间
最新发布
05-10
K8s源码文件,可用于设置证书过期时间,使用GoLong环境编译后,生成kubeadm二进制文件,赋予执行权限后,在K8s集群初始化后生效
k8s报错x509: certificate signed by unknown authority
qq_38454637的博客
07-28 2162
[root@master harbor]# docker loginhttps://hub.bosssoft.com Username: admin Password: Error response from daemon: Gethttps://hub.bosssoft.com/v2/: x509: certificate signed by unknown authority 修改这个可以解决上面的报错 /usr/lib/systemd/system/docker.service ExecStart..
docker k8s 常用命令及常见问题解决大全
a1058926697的博客
01-07 2836
unknown shorthand flag: ‘a‘ in -a See ‘docker rm --help‘. Doker 常用命令 #查看镜像列表 docker images #删除单个镜像 docker rmi image-id #删除所有镜像 docker rmi $(docker images -q) #查看运行中的容器 docker ps #查看所有容器 docker p...
k8s踩坑(三)、kubeadm证书/etcd证书过期处理
热门推荐
ywq935的博客
03-08 2万+
故障现象 使用kubeadm部署的集群,在运行了一年之后今天,出现k8s api无法调取的现象,使用kubectl命令获取资源均返回如下报错: Unable to connect to the server: x509: certificate has expired or is not yet valid 故障排查 查看apiserver.crt证书的签署日期和过期日期: root@9027:...
kubeadm证书过期问题延期
二哈欢乐多的博客
07-28 841
kubeadm搭建过k8s集群的,应该都知道默认证书为一年,一年过期后,会导致kubelet服务启动不了,所以在部署完毕的时候要提前避免 [root@master pki]# kubectl get cs Warning: v1 ComponentStatus is deprecated in v1.19+ NAME STATUS MESSAGE ERROR controller-manager Healthy ok
kubeadm 安装kubernetes kube-api证书过期解决方案
my_chenjie的博客
11-29 1781
kubeadm 安装kubernetes kube-api证书过期解决方案 problem describection Unable to connect to the server: x509: certificate has expired or is not yet valid 解决方案 #查看证书过期时间 openssl x509 -in /etc/kubernetes/pki/ap...
kubeadm证书过期问题
qq_23191379的博客
04-07 897
该脚本用于处理过期或者即将过期kubernetes 集群证书 该脚本适用于所有 k8s 版本集群证书更新(使用 kubeadm 初始化的集群) kubeadm 生成的证书有效期为 1 年,该脚本可将 kubeadm 生成的证书有效期更新为 10 年 该脚本只处理 master 节点上的证书,node 节点的 kubelet 证书默认自动轮换更新,无需关心过期问题,只需关心 master 节点上的证书即可 1. 使用说明 该脚本仅需要在 master 节点执行,无需在 node 节点执行 若没有 e
k8s之service account
fengcai_ke的博客
07-11 3543
k8s service account分析
修改kubeadm证书过期时间
github_35614077的博客
11-22 2961
kubernetes集群三步安装 修改kubeadm证书过期时间 本文通过修改kubeadm源码让kubeadm默认的一年证书过期时间修改为99年 我已经编译好了一个放在了github上,有需要的可以直接下 代码编译 编译环境镜像我已经放到dockerhub上了:fanux/kubernetes-build:v1.0.0 首先clone k8s 代码: git clone https://gi...
Kubernetes实录-第一篇-集群部署配置(9) Kubernetes api版本清单以及api版本选择
Vic的博客
01-15 1166
1. Kubernetes api versions清单 如下是Kubernetes 1.18.5 下的API版本清单 # kubectl api-versions 前一部分是apigroup,后一部分是版本 admissionregistration.k8s.io/v1 admissionregistration.k8s.io/v1beta1 apiextensions.k8s.io/v1 apiextensions.k8s.io/v1beta1 apiregistration.k8s.io/v
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值