Kubernetes kubeadm证书时间修改的正确姿势

最新推荐文章于 2023-11-08 15:11:58 发布
最新推荐文章于 2023-11-08 15:11:58 发布
阅读量1.2k 收藏
点赞数
分类专栏: kubernets k8s 文章标签: k8s k8s证书 k8s证书时间 k8s ca k8s ca时间
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010827484/article/details/103465110
版权

版本

kubeadm v1.16.3

需求

kubeadm init 部署集群时自动生成相关证书,包括api-server、etcd、ca等,自动生成过程中起始时间默认为当前系统的时间,如果当前系统时间不正确会导致生成的证书异常,所以需要根据需求进行定制

apiserver.crt  apiserver-kubelet-client.crt  ca.crt  front-proxy-ca.crt  front-proxy-client.crt  sa.key
apiserver.key  apiserver-kubelet-client.key  ca.key  front-proxy-ca.key  front-proxy-client.key  sa.pub

修改

修改分为k8s证书时间修改和ca时间修改,k8s证书时间的修改如下所示,NotBefore标识证书起始时间,NotAfter标识证书到期时间。

修改k8s证书时间方法

[root@master2 github.com]# diff -Nr kubernetes-1.16.3/cmd/kubeadm/ kubernetes-1.16.3-ori/cmd/kubeadm/
diff -Nr kubernetes-1.16.3/cmd/kubeadm/app/util/pkiutil/pki_helpers.go kubernetes-1.16.3-ori/cmd/kubeadm/app/util/pkiutil/pki_helpers.go
57,59d56
<       beforeTime = "1970-01-01 00:00:00 +0000 UTC"
<       afterTime = "2970-01-01 00:00:00 +0000 UTC"
<       seedTime = "2006-01-02 15:04:05 -0700 MST"
555,556c552
< func NewSignedCert(cfg *certutil.Config, key crypto.Signer, caCert *x509.Certificate, caKey crypto.Signer) (*x509.Certificate, error) {
< 
---
> func NewSignedCert(cfg *certutil.Config, key crypto.Signer, caCert *x509.Certificate, caKey crypto.Signer) (*x509.Certificate, error) {
568,570d563
<       brfore, _ := time.Parse(seedTime, beforeTime)
<       after, _ := time.Parse(seedTime, afterTime)
< 
579,582c572,573
<               // NotBefore:    caCert.NotBefore,
<               // NotAfter:     time.Now().Add(kubeadmconstants.CertificateValidity).UTC(),
<               NotBefore:    brfore,
<               NotAfter:     after,
---
>               NotBefore:    caCert.NotBefore,
>               NotAfter:     time.Now().Add(kubeadmconstants.CertificateValidity).UTC(),
[root@master2 github.com]#

k8s证书的验签由ca证书确定,所以在修改时间时还需要修改ca证书的时间才能达到我们的需求。kubeadm ca证书的时间修改如下所示:

[root@master2 github.com]# diff -Nr kubernetes-1.16.3/staging/src/k8s.io/client-go/util/cert/cert.go kubernetes-1.16.3-ori//staging/src/k8s.io/client-go/util/cert/cert.go
58,64c58
<       beforeTime := "1970-01-01 00:00:00 +0000 UTC"
<       afterTime := "2970-01-01 00:00:00 +0000 UTC"
<       seedTime := "2006-01-02 15:04:05 -0700 MST"
< 
<       before, _ := time.Parse(seedTime, beforeTime)
<       after, _ := time.Parse(seedTime, afterTime)
< 
---
>       now := time.Now()
71,72c65,66
<               NotBefore:             before,
<               NotAfter:              after,
---
>               NotBefore:             now.UTC(),
>               NotAfter:              now.Add(duration365d * 10).UTC(),
[root@master2 github.com]#

修改ca时间实现k8s所有证书时间修改的patch如下:

[root@master2 github.com]# diff -Nr kubernetes-1.16.3/staging/src/k8s.io/client-go/util/cert/cert.go kubernetes-1.16.3-ori//staging/src/k8s.io/client-go/util/cert/cert.go
58,64c58
<       beforeTime := "1970-01-01 00:00:00 +0000 UTC"
<       afterTime := "2970-01-01 00:00:00 +0000 UTC"
<       seedTime := "2006-01-02 15:04:05 -0700 MST"
< 
<       before, _ := time.Parse(seedTime, beforeTime)
<       after, _ := time.Parse(seedTime, afterTime)
< 
---
>       now := time.Now()
71,72c65,66
<               NotBefore:             before,
<               NotAfter:              after,
---
>               NotBefore:             now.UTC(),
>               NotAfter:              now.Add(duration365d * 10).UTC(),
[root@master2 github.com]# 
[root@master2 github.com]# diff -Nr kubernetes-1.16.3/cmd/kubeadm/app/util/pkiutil/pki_helpers.go kubernetes-1.16.3-ori/cmd/kubeadm/app/util/pkiutil/pki_helpers.go
552c552
< func NewSignedCert(cfg *certutil.Config, key crypto.Signer, caCert *x509.Certificate, caKey crypto.Signer) (*x509.Certificate, error) {
---
> func NewSignedCert(cfg *certutil.Config, key crypto.Signer, caCert *x509.Certificate, caKey crypto.Signer) (*x509.Certificate, error) {
573c573
<               NotAfter:     caCert.NotAfter,
---
>               NotAfter:     time.Now().Add(kubeadmconstants.CertificateValidity).UTC(),
[root@master2 github.com]#
迷失0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s容器时间与服务器时间不一致问题
风水道人
11-18 754
k8s容器时间与服务器时间不一致问题
kubadm运行逻辑——init-certs证书的生成与创建
baiyvwuxia的专栏
07-13 512
一、kubernetes需要的证书列表 kubeadm用于生成各个证书的重要代码段,他把各个证书的的生成封装成一个个的对象。然后放到我们subPhases中,上层的逻辑会挨个调用对象中的run函数。 74 func newCertSubPhases() []workflow.Phase { 75 subPhases := []workflow.Phase{} 76 77 // All subphase 78 allPhase := workflow.Phase{ 7
kubeadm初始化k8s集群延长证书过期时间.bash
06-01
kubeadm初始化k8s集群延长证书过期时间
kubernetes,ETCD灾备恢复,重新生成证书,重新生成配置文件
qq_22648091的博客
08-08 1627
备份原来的证书帮助信息生成新的证书
【博客436】kubeadm init原理
qq_43684922的博客
07-31 794
kubeadm为4个控制面组件kube-apiserver、kube-controller-manager、kube-scheduler生成podyaml文件,放到/etc/kubernetes/manifests目录下,然后kubelet会根据staticpod特性,使用pod的方式将它们部署起来;即生成master节点上kube-controller-manager、kube-scheduler、kubelet组件等访问kube-apiserver的kubeconfig文件,...
K8S基础服务(apiserver、controller、scheduler、etcd)时区设置
那个那个
11-08 785
K8S基础服务(apiserver、controller、scheduler、etcd)时区设置。
k8s环境下处理容器时间问题的多种姿势
DevOps持续集成的博客
08-30 2094
目录1、背景概述2、硬件时钟和系统时间3、Linux 中修改时间4、尝试在容器中修改时间5、处理时间问题的多种姿势5.1 在 Dockerfile 中添加时区5.2 将时区文件挂载到 Po...
K8S pod 时区设置
07-14 5813
K8S 中默认使用0时区,如果不设置为当前时区,有些应用会报错,比如 minio 等;查看原时区: nsName 是命名空间; 此时时区是 UTC;打开之前的 dp.yaml 文件,在其中添加上 /etc/localtime 文件的挂载 此步,也可以在 dashboard 中直接编辑 yaml 配置,但最好是每次调整都编辑原始文件,这样省的某次的修改以后找不到了;重新发布: 重启后,再到 pod 中查看当前时间 时区和时间都正常了!...
(十)k8s证书可用时间修改以及高可用的 K8S 集群构建
卷心菜投手
03-06 750
一、证书可用时间修改 注意当初我们使用kubeadm 安装,所以我们登录 master节点,进行下面的操作。 1.1、证书说明 相关证书都在pki目录下(至于前缀目录你需要你当时指定在哪里,当初你应该是指定文件来配置的,所以你可以去 kubeadm-config.yaml文件中查看),我们可以选择一个查看,比如查看 apiserver 的。 # openssl 加密格式 -in 文件 输出格式 -noout openssl x509 -in apiserver.crt -text -noout 可以看到
k8s-通过定时任务实现时间同步
q_hsolucky的博客
07-12 2919
k8s时间同步:通过定时任务完成时间同步
Kubernetes - kubeadm安装
最新发布
01-11
完整版KubernetesK8S)全套入门+微服务实战项目,带你一站式深入掌握K8S核心能力 视频链接:https://www.bilibili.com/video/BV1MT411x7GH/ 文档资源详细链接: 叩丁狼链接:http://czh.znunwm.top/软件/K8S配套...
kubernetes离线kubeadm安装版.docx
06-14
kubernetes离线kubeadm安装版,提前下载好镜像包和kubeadm的rpm文件,由于文件较大,可以留言跟作者获取。本文档纯手工制作,敬请参考。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
使用OpenSSL生成Kubernetes证书的介绍
01-10
kubernetes支持Base认证/Token认证/CA认证三种,这篇文章用于记录一下CA认证所需要的最简单程度的命令。 kubernetes构成 测试版本为1.10,但不限于此版本,为openssl证书较为通用的方式。 所需证书 所需要的证书...
使用Kubeadm工具快速安装Kubernetes集群.pdf
10-20
使用Kubeadm工具快速安装Kubernetes集群
kubeadm国内部署-Ubuntu16.04
迷失的专栏
10-12 7163
系统信息 root@ubuntu:~# cat /etc/*release DISTRIB_ID=Ubuntu DISTRIB_RELEASE=16.04 DISTRIB_CODENAME=xenial DISTRIB_DESCRIPTION=&amp;amp;amp;amp;amp;quot;Ubuntu 16.04.2 LTS&amp;amp;amp;amp;amp;quot; NAME=&amp;amp;amp;amp;amp;quot;Ubuntu&amp
Kubernetes Multus-CNI
迷失的专栏
02-09 6725
简介 Multus CNI 作为K8S的CNI插件,支持同时添加多个网络接口到K8S环境中的POD。这样的部署方式有利用用户把管理网络和业务网络相互隔离,有效控制容器集群网络架构 下图是Multus CNI配置pod网络接口的例子。图中显示了POD具有三个接口:eth0、net0和net1。eth0将kubernetes集群网络连接到kubernetes服务器/服务(例如kubernetes ap...
Kubernetes 部署contiv-vpp
迷失的专栏
02-08 3379
简介 Contiv/VPP is a Kubernetes network plugin that uses FD.io VPP to provide network connectivity between PODs in a k8s cluster. It deploys itself as a set of system PODs in the kube-system namespace, ...
Kubevirt 部署虚拟机
迷失的专栏
01-11 3367
Architecture KubeVirt is built using a service oriented architecture and a choreography pattern. Stack +---------------------+ | KubeVirt | ~~+---------------------+~~ | Orchestration...
Kubernetes DNS解析简要分析
迷失的专栏
09-04 2671
Kubernetes POD IP会随POD的创建销毁动态变化,所以提出Service的方式访问POD网络,Kubernetes的Service可以使用Iptables实现也可以使用IPVS实现,本文简要分析Iptables实现方式。 部署POD,进入POD观察域名解析服务器地址: Develop>kubectl exec -it -n default ncss-i-mysql-ha-0 /...
choco install kubernetes-kubeadm 报错
04-04
如果您使用的是 Windows 操作系统,则可能无法使用 "choco install" 命令来安装 Kubernetes Kubeadm,因为这个命令是 Chocolatey 包管理器的命令,而 Kubernetes Kubeadm 是一个 Linux 系统的工具。 如果您正在使用 Linux 操作系统,请确保已经安装了 Chocolatey 包管理器,并尝试使用以下命令安装 Kubernetes Kubeadm: ``` sudo choco install kubernetes-kubeadm ``` 如果您仍然遇到问题,请提供更具体的错误信息,以便我们更好地帮助您解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值