使用kubeadm安装K8s-1.5版本证书到期

最新推荐文章于 2024-07-04 22:08:37 发布
最新推荐文章于 2024-07-04 22:08:37 发布
阅读量1.5k 收藏 4
点赞数 1
分类专栏: k8s 文章标签: k8s证书到期 k8s 1.5 kubeadm部署 k8s源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sixintadi888/article/details/89818794
版权

【问题】
生产环境使用k8s-1.5版本并且使用kubeadm直接安装后,出现证书一年到期,整个集群无法使用的情况。
【解决方案】
生产新的证书替换就的证书
【解决方法与步骤】
1、从github上获取相应版本的k8s源码;
2、修改源码使生成证书的有效期为100年(自己定义);
3、Linux测试服务器上搭建go编译环境,go版本必须是1.9版本;
4、单独只编译kubeadm组件;
5、Linux服务器模拟部署过期环境集群,使用编译好的kubeadm init生成证书;
6、将新生产的证书替换到过期环境master节点下的/etc/kubenetes目录下;
7、将master节点/etc/kubenetes下的kubelet.conf文件拷贝到全部node节点/etc/kubenetes下
8,删除重新全部的sever account服务(default、flannel),重新生成kube-system下的pod
【详细步骤】
1、下载源码
https://codeload.github.com/kubernetes/kubernetes/tar.gz/v1.5.1
2、上传到到测试服务器上并解压
# tar -zxvf XXX.tar.gz -C /root
3、安装go环境
3.1 https://golang.org/dl/
下载最新安装包go1.9.2.Linux-amd64.tar.gz
3.2 解压
# tar -zxvf XX.tar.gz -C /usr/lib
3.3 配置环境变量
# echo “export GOROOT=/usr/lib/golang” >> /etc/profile
# echo “export PATH= P A T H : PATH: PATH:GOROOT/bin” >> /etc/profile
# source /etc/profile
3.4 配置k8s编辑目录
# mkdir -p /usr/lib/golang/src/k8s.io
# cd /usr/lib/golang/src/
# ln -s /root/kubernetes k8s.io/
3.5 修改源码
# cd /usr/lib/golang/src/k8s.io/kubernetes/pkg/util/cert
# vim cert.go
修改函数列表
NewSelfSignedCACert
NewSignedCert
GenerateSelfSignedCertKey
分别将上面证书时间修改为100年

func NewSelfSignedCACert(cfg Config, key *rsa.PrivateKey) (*x509.Certificate, error) {
	now := time.Now()
	tmpl := x509.Certificate{
		SerialNumber: new(big.Int).SetInt64(0),
		Subject: pkix.Name{
			CommonName:   cfg.CommonName,
			Organization: cfg.Organization,
		},
		NotBefore:             now.UTC(),
		NotAfter:              now.Add(duration365d * 100).UTC(),
		KeyUsage:              x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature | x509.KeyUsageCertSign,
		BasicConstraintsValid: true,
		IsCA: true,
	}

	certDERBytes, err := x509.CreateCertificate(cryptorand.Reader, &tmpl, &tmpl, key.Public(), key)
	if err != nil {
		return nil, err
	}
	return x509.ParseCertificate(certDERBytes)
}

4、编译kubeadm
# cd /usr/lib/golang/src/k8s.io/kubernetes/cmd/kubeadm
# go build
生成新的kubeadm二进制文件
将编译好的kubeadm文件拷贝到/usr/bin/目录下
# mv kubeadm /usr/bin
5、k8s证书替换
在Linux测试服务器上模拟生产环境搭建,将就的kubeadm二进制文件替换为新生成的二进制文件
模拟部署新环境
会在/etc/kubernetes/pki目录下生成新的证书
# cd /etc/kubernetes/pki
# openssl x509 -in apiserver.pem -noout -text
查看新生成证书的期限是否为100年
5.1 master节点
将新证书拷贝到生产环境master节点上/etc/kubernetes/目录下
重启kubelet、kube-apiserver、kube-controller-manager、kube-schedule、kube-proxy、kube-discovery等服务(或者重启服务器)
5.2 node节点
将node节点上的/etc/kubernetes目录下的kubelet.conf文件替换为master上新的文件,然后直接重启kubelet服务或者服务器
5.3 重新server account(全部名空间下的服务)
# kubectl get sa
# kubectl get sa -n kube-system
例如:
# kubectl delete sa default -n kube-system
# kubectl delete sa default
5.4 删除重新网络ds
# kubectl delete ds kube-flannel-ds -n kube-system --grace-period=0 --force
# kubectl apply -f XXX --namesapace=kube-system

sixintadi888
关注
专栏目录
Centos7.x基于kubeadm部署K8s_1.5集群
afei001
06-12 299
一、项目环境 主机名 IP地址 操作系统 k8s-master 10.10.10.5 Centos 7.4 k8s-node01 10.10.10.6 Centos 7.4 k8s-node02 10.10.10.7 Centos 7.4      二、基于kubeadm搭建K8s集群 1.准备工作(所有节点) # 关闭防火墙 [root@k8s-master ~]# systemctl stop firewalld && systemctl disable f.
k8s证书过期
u010674101的专栏
10-16 362
只要apiserver容器重启了加载了新证书即可,否则请查询apiserver日志。更新/etc/kubernetes/pki目录下的所有证书(不包含ca证书)由于我之前是有kubekey部署的,在我的电脑上找了很久配置文件才找到。可以看到这个文章,我部署的,1年到期,童嫂无欺!话说回来,证书过期,真是一个巨坑。注意:需要在每一个节点上都更新。
K8s 集群(kubeadm) CA 证书过期解决方案
最新发布
RAB
07-04 1677
K8s 集群(kubeadm) CA 证书过期解决方案。
解决K8s证书过期问题
m0_52931616的博客
11-02 3325
解决K8s证书过期问题
K8S kubeadm管理证书
Jeacean的博客
04-25 579
官方文档: k8s kubeadm管理证书 查询证书过期时间 $ kubeadm alpha certs check-expiration 如下输出 [root@master1 ~]# kubeadm alpha certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look at this config file with 'k
k8s采坑记 - 解决二进制安装环境下证书过期问题
weixin_30666401的博客
09-10 658
前言 上一篇k8s采坑记 - 证书过期之kubeadm重新生成证书阐述了如何使用kubeadm解决k8s证书过期问题。 本篇阐述使用二进制安装kubernetes环境,如何升级过期证书k8s配置信息的工作目录一般为/etc/kubernetes,证书目录一般为/etc/kubernetes/ssl。 重新生成证书 当你的kubernetes报错:certificate has ...
kubeadm安装k8s-1.17.0离线资源.rar
10-15
centos7通过kubeadm离线搭建k8s-1.17.0集群所需要的所有内容,包括:docker、kubeadmkubectl、kubelet、flannel、dashboard等安装需要的离线宝、镜像包、yaml文件。亲自测试,正确无坑。
k8s-v1.23.4-x86-64版本的离线包
01-08
在这个“k8s-v1.23.4-x86_64”离线包中,我们看到的是针对x86_64架构的Kubernetes 1.23.4版本,特别设计适配于银河麒麟V10 Service Pack 2 (SP2) 操作系统的。银河麒麟V10是一款由中国自主研发的Linux发行版,它在...
k8s-v1.23.4-arm版本的离线包
06-11
K8s-v1.23.4是Kubernetes的一个特定版本,它带来了许多性能改进、安全增强以及对新特性的支持。在这款“k8s-v1.23.4-arm版本的离线包”中,主要针对的是ARM架构的设备,特别是银河麒麟Server-V10操作系统,这是一个...
k8s离线文件包 Ubuntu 使用Kubeadm 离线安装k8s
10-12
k8s离线文件包 Ubuntu 使用Kubeadm 离线安装k8s 参考连接 https://blog.csdn.net/u010952056/article/details/127276191?spm=1001.2014.3001.5501
kubeadm 安装k8s 1.15.1 网络插件
06-14
使用方法: kubectl apply -f kube-flannel.yml 生成网络插件后,所有的node节点都会自动生成一个网络pod如:kube-flannel-ds-g85zs 常看网络pod的yaml方法: kubectl get pod kube-flannel-ds-g85zs -n kube-system...
云原生运维实战 | 快速解决高可用K8s集群证书到期问题
WeiyiGeek 唯一极客IT知识分享
06-29 884
移除并等待 20 秒(参考 KubeletConfiguration 结构 中的fileCheckFrequency 值), 等待pod终止后再将配置清单移会原始目录,然后kubelet将会重建这些Pod。由于作者水平有限,本章错漏缺点在所难免,希望读者批评指正,若有问题或建议请在文章末尾留下您宝贵的经验知识,或联系邮箱地址。Step 8.若kuebelt证书未更新,我们需要在集群证书签名请求CSR中进行批准。原文地址: https://blog.weiyigeek.top/
K8S 证书过期解决办法
热门推荐
海鸥
04-14 1万+
问题现象 K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问。 查看K8S的日志: Part of the existing bootstrap client certificate is expired: 2021-06-10 06:29:04 +0000 UT 这是说明k8s使用证书过期了,k8s自带证书是一年的有效期。所以我们解决问题的办法就是更换证书。 一、确认K8S证书过期时间 查看k8s某一证书过期时间:
k8s集群证书过期解决
weixin_45112997的博客
08-29 2579
k8s集群证书过期解决
K8S证书过期解决办法之替换证书
q_hsolucky的博客
06-20 1万+
k8s证书过期解决方案之替换证书
Kubernetes(k8s)-v1.22.3版本证书有效期修改
听海归雪的博客
01-13 2126
用了一段时间k8s发现这个SSL证书的一年有效期时间的坑还是迈不过去,问题 来了,我们就要去解决 一、环境 CentOS Linux release 7.7.1908 (Core) 3.10.0-1062.el7.x86_64 kubeadm-1.22.3-0.x86_64 kubelet-1.22.3-0.x86_64 kubectl-1.22.3-0.x86_64 kubernetes-cni-0.8.7-0.x86_64 主机名 IP VIP k8s-master01 .
解决K8S证书过期步骤(续一年)
weixin_41914251的博客
06-25 2070
K8S 各个组件需要与 api-server 进行通信,通信使用证书都存放在 /etc/kubernetes/pki 路径下,kubeadm 生成的证书默认有效为 1 年,因此需要定时更新证书,否则证书到期会导致整个集群不可用。本篇文章主要介绍如何通过 kubeadm 重新生成证书。有其他的办法可以更长时间的延长证书。8、替换kubeconfig。9、查看证书时间(续一年)7、重启kubelet。4、重新生成全部证书。6、生成所有配置文件。
使用 kubeadm 进行证书管理
yuxingwu9872的博客
04-22 845
使用 kubeadm certs renew 命令 可以随时手动续订证书,该命令使用存储在/etc/kubernetes/pki中的 CA (or front-proxy-CA)证书和密钥来更新证书。c.重启 kube-apiserver、kube-controller-manager、kube-scheduler、etcd 组件后生效。修改kube-controller-manager启动参数(所有master节点修改)重启kube-controller-manager和kubelet。
在centos系统使用kubeadm安装k8s-1.24版本全部命令
09-12
### 回答1: 在CentOS系统中使用kubeadm安装Kubernetes 1.24版本的全部命令如下: 1. 安装必需的包和软件: ``` sudo yum install -y yum-utils device-mapper-persistent-data lvm2 ``` 2. 添加Kubernetes存储库: ``` sudo yum-config-manager --add-repo https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64/ ``` 3. 安装kubeadmkubelet和kubectl: ``` sudo yum install -y kubeadm-1.24.0 kubelet-1.24.0 kubectl-1.24.0 ``` 4. 启动并启用kubelet服务: ``` sudo systemctl start kubelet && sudo systemctl enable kubelet ``` 5. 初始化集群: ``` sudo kubeadm init --kubernetes-version=1.24.0 --pod-network-cidr=10.244.0.0/16 ``` 6. 配置kubectl: ``` mkdir -p $HOME/.kube sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config sudo chown $(id -u):$(id -g) $HOME/.kube/config ``` 7. 安装网络插件: ``` kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/2140ac876ef134e0ed5af15c65e414cf26827915/Documentation/kube-flannel.yml ``` 8. 加入节点: ``` kubeadm join <control-plane-host>:<control-plane-port> --token <token> --discovery-token-ca-cert-hash sha256:<hash> ``` 请注意,在实际使用时,您需要替换`<control-plane-host>`、`<control-plane-port>`、`<token>`和`<hash>`的值。 ### 回答2: 在CentOS系统中使用kubeadm安装Kubernetes 1.24版本需要执行以下步骤: 1. 确保系统已经安装CentOS操作系统并更新到最新版本。 2. 安装Docker,首先安装Docker的相关依赖: ``` sudo yum install -y yum-utils device-mapper-persistent-data lvm2 ``` 接下来,添加Docker的yum源并安装Docker: ``` sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo sudo yum install -y docker-ce docker-ce-cli containerd.io ``` 启动Docker并设置为开机自启动: ``` sudo systemctl start docker sudo systemctl enable docker ``` 3. 安装kubeadmkubelet和kubectl,添加Kubernetes的yum源: ``` sudo tee /etc/yum.repos.d/kubernetes.repo <<EOF [kubernetes] name=Kubernetes baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-\$basearch enabled=1 gpgcheck=1 repo_gpgcheck=1 gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg exclude=kube* EOF ``` 安装kubeadmkubelet和kubectl: ``` sudo yum install -y kubeadm-1.24.0 kubelet-1.24.0 kubectl-1.24.0 --disableexcludes=kubernetes ``` 启动kubelet并设置为开机自启动: ``` sudo systemctl start kubelet sudo systemctl enable kubelet ``` 4. 创建Kubernetes集群,首先选择一个主节点,执行以下命令初始化主节点: ``` sudo kubeadm init --pod-network-cidr=10.244.0.0/16 ``` 初始化完成后,根据输出的提示执行以下命令设置kubeconfig: ``` mkdir -p $HOME/.kube sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config sudo chown $(id -u):$(id -g) $HOME/.kube/config ``` 安装网络插件(这里以Flannel为例): ``` kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml ``` 接下来,将其他节点加入集群,运行输出的`kubeadm join`命令即可。 通过以上步骤,在CentOS系统中使用kubeadm成功安装Kubernetes 1.24版本。 ### 回答3: 在CentOS系统上使用kubeadm安装Kubernetes 1.24版本,可以按照以下步骤操作: 1. 确保系统已经预先安装好Docker,并且启动Docker服务。 ``` systemctl start docker systemctl enable docker ``` 2. 更新系统的软件包,并安装所需的依赖项。 ``` yum update yum install -y curl wget kubelet kubeadm kubectl ``` 3. 配置kubeadm使用国内镜像源,以提高下载速度。 ``` echo "KUBELET_EXTRA_ARGS=--image-repository=registry.aliyuncs.com/google_containers" > /etc/sysconfig/kubelet ``` 4. 初始化kubeadm并指定使用版本。 ``` kubeadm init --kubernetes-version=1.24.0 ``` 5. 完成初始化后,根据kubeadm提供的输出信息执行以下命令,将kubectl与集群进行连接。 ``` mkdir -p $HOME/.kube sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config sudo chown $(id -u):$(id -g) $HOME/.kube/config ``` 6. 部署Pod网络插件,以便集群中的Pod可以相互通信。 这里以Calico网络插件为例: ``` kubectl apply -f https://docs.projectcalico.org/v3.14/manifests/calico.yaml ``` 7. 等待一段时间,直到所有的节点状态都变为Ready。 ``` kubectl get nodes ``` 8. 完成上述步骤后,Kubernetes集群已经成功安装。 请注意,以上步骤仅适用于CentOS系统上使用kubeadm安装Kubernetes 1.24版本。具体版本号和网络插件可以根据需要进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值