Kubernetes Kubeadm Kubelet 证书自动续签

最新推荐文章于 2023-05-12 14:05:24 发布
最新推荐文章于 2023-05-12 14:05:24 发布
阅读量1.5k 收藏 7
点赞数
分类专栏: K8S 文章标签: kubernetes kubelet docker
原文链接:https://blog.csdn.net/qq_34556414/article/details/114057422
版权
K8S 专栏收录该内容
104 篇文章 134 订阅
订阅专栏

Kubelet 证书自动续签

K8s证书一般分为两套:K8s组件(apiserver)和Etcd,假如按角色来分,证书分为管理节点和工作节点。

• 管理节点:如果是kubeadm部署则自动生成,如果是二进制部署一般由cfssl或者openssl生成。

• 工作节点:工作节点主要是指kubelet连接apiserver所需的客户端证书,这个证书由controller-manager组件自动颁发,默认是一年,如果到期,kubelet将无法使用过期的证书连接apiserver,从而导致无法正常工作,日志会给出证书过期错误(x509: certificate has expired or is not yet valid)(工作节点容易忽略掉证书有效期)

二进制,这个是k8s apiserver的一套证书

[root@k8s-master ~]# ls /opt/kubernetes/ssl/
ca-key.pem  kubelet-client-2020-09-30-11-12-16.pem  kubelet.crt  server-key.pem
ca.pem      kubelet-client-current.pem              kubelet.key  server.pem

这个是apiserver连接etcd所需要的证书

[root@k8s-master ~]# ls /opt/etcd/ssl/
ca-key.pem  ca.pem  server-key.pem  server.pem

kubeadm部署的两套证书都放在这里

[root@k8s-master ~]# ls /etc/kubernetes/pki/
apiserver.crt                 etcd
apiserver-etcd-client.crt     front-proxy-ca.crt
apiserver-etcd-client.key     front-proxy-ca.key
apiserver.key                 front-proxy-client.crt
apiserver-kubelet-client.crt  front-proxy-client.key
apiserver-kubelet-client.key  sa.key
ca.crt                        sa.pub
ca.key

 Apiserver也是需要https去访问,etcd也一样,包括从etcd当中读写数据都要携带证书去访问

不管你是kubeadm安装的还是二进制安装的,管理节点不管证书有效期有多长5年,10年,工作节点证书有效期限都是1年, 就会出现证书过期的情况。

红线:K8s自建证书颁发机构(CA),需携带由它生成的客户端证书访问apiserver

蓝色:Etcd自建证书颁发机构(CA),需携带由它生成的客户端证书访问etcd

自签证书和机构证书不同:加密强度不同和浏览器显示的不一样

证书是要配置在组件上面,这三个组件是管理节点部署的

                   Kube-apiserver     controller-manager    scheduler

工作节点

                   Kubelet    kube-proxy

如果Kube-apiserver controller-manager scheduler这三个组件部署在一块,那么都是使用非安全端口去访问,也就是apiserver提供了两个端口(对本地127.0.0.1:8080,对外的就是ip:6443)

同一个机器上使用127.0.0.1:8080去连接Kube-apiserver,如果部署到其他节点通过6443

[root@k8s-master ~]# netstat -tpln | grep 8080
tcp        0      0 127.0.0.1:8080          0.0.0.0:*               LISTEN      57758/kube-apiserve 

[root@k8s-master ~]# netstat -tpln | grep 6443
tcp        0      0 192.168.179.99:6443     0.0.0.0:*               LISTEN      57758/kube-apiserve

[root@k8s-master ~]# kubectl get ep
NAME         ENDPOINTS              AGE
kubernetes   192.168.179.99:6443   101d

[root@k8s-master ~]# vim /opt/kubernetes/cfg/kube-controller-manager.conf 
--master=127.0.0.1:8080 \
--cluster-signing-cert-file=/opt/kubernetes/ssl/ca.pem \
--cluster-signing-key-file=/opt/kubernetes/ssl/ca-key.pem  \
--root-ca-file=/opt/kubernetes/ssl/ca.pem \
--service-account-private-key-file=/opt/kubernetes/ssl/ca-key.pem \


[root@k8s-master ~]# vim /opt/kubernetes/cfg/kube-scheduler.conf 
KUBE_SCHEDULER_OPTS="--logtostderr=false --v=2 --log-dir=/opt/kubernetes/logs --leader-elect --master=127.0.0.1:8080 --bind-address=127.0.0.1"

如果不在那么必须走6443连接apiserver,也就涉及到使用证书去连接

Apiserver去访问etcd也要携带证书去访问,所以要在Apiserver当中配置etcd的证书

[root@k8s-master ~]# cat /opt/kubernetes/cfg/kube-apiserver.conf 
--etcd-servers=https://192.168.179.99:2379,https://192.168.179.100:2379,https://192.168.179.101:2379 \
--etcd-cafile=/opt/etcd/ssl/ca.pem \
--etcd-certfile=/opt/etcd/ssl/server.pem \
--etcd-keyfile=/opt/etcd/ssl/server-key.pem \

上面是组件访问的关系,红线的都是使用一套证书,即k8s自签证书颁发的证书。因为访问控制就是基于证书进行授权的

Kubelet 证书自动续签

Kubeadm没有提供设置证书时间的参数,有效期是一年,获取集群证书过期时间

容易过期的是ca证书派发出来的证书文件,这里的过期时间是客户端的证书。(因为ca证书有效期是10年,足够用了,主要过期的是ca派发出来的证书)

[root@k8s-master ~]# kubeadm alpha certs check-expiration
[check-expiration] Reading configuration from the cluster...
[check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml'

CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
admin.conf                 Nov 15, 2021 06:56 UTC   263d                                    no      
apiserver                  Nov 15, 2021 06:56 UTC   263d            ca                      no      
apiserver-etcd-client      Nov 15, 2021 06:56 UTC   263d            etcd-ca                 no      
apiserver-kubelet-client   Nov 15, 2021 06:56 UTC   263d            ca                      no      
controller-manager.conf    Nov 15, 2021 06:56 UTC   263d                                    no      
etcd-healthcheck-client    Nov 15, 2021 06:56 UTC   263d            etcd-ca                 no      
etcd-peer                  Nov 15, 2021 06:56 UTC   263d            etcd-ca                 no      
etcd-server                Nov 15, 2021 06:56 UTC   263d            etcd-ca                 no      
front-proxy-client         Nov 15, 2021 06:56 UTC   263d            front-proxy-ca          no      
scheduler.conf             Nov 15, 2021 06:56 UTC   263d                                    no      

CERTIFICATE AUTHORITY   EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
ca                      Nov 13, 2030 06:56 UTC   9y              no      
etcd-ca                 Nov 13, 2030 06:56 UTC   9y              no      
front-proxy-ca          Nov 13, 2030 06:56 UTC   9y              no

一年之后要更新集群的版本或者更新证书

kubeadm alpha certs renew对证书升级重新续约证书或者升级k8s版本kubeadm upgrade,在升级版本的时候会续签一年,最好一年升级一次

二进制部署方式

如果你采用的二进制方式部署,已经配置了默认是5年,所以在5年之前不会出现证书过期的问题。找一台节点查看∶

[root@k8s-master ssl]# ls
ca-key.pem  kubelet-client-2022-03-25-21-23-51.pem  kubelet.crt  server-key.pem
ca.pem      kubelet-client-current.pem              kubelet.key  server.pem
[root@k8s-master ssl]# openssl x509 -in kubelet-client-current.pem -noout -datesnotBefore=Mar 25 13:18:51 2022 GMT
notAfter=Mar 24 11:58:00 2027 GMT
[root@k8s-master ssl]# pwd
/opt/kubernetes/ssl

启用 TLS Bootstrapping 机制

TLS Bootstraping:Master apiserver启用TLS认证后,Node节点kubelet和kube-proxy要与kube-apiserver进行通信,必须使用CA签发的有效证书才可以,当Node节点很多时,这种客户端证书颁发需要大量工作,同样也会增加集群扩展复杂度。为了简化流程,Kubernetes引入了TLS bootstraping机制来自动颁发客户端证书,kubelet会以一个低权限用户自动向apiserver申请证书,kubelet的证书由apiserver动态签署。所以强烈建议在Node上使用这种方式,目前主要用于kubelet,kube-proxy还是由我们统一颁发一个证书。

TLS bootstraping 工作流程:

部署一套完整的Kubernetes高可用集群(二进制,最新版v1.18)上

kubeadm 部署方式续签

 先看 下kubeadm 客户端证书过期时间:

[root@k8s-master ~]# kubeadm alpha certs check-expiration
[check-expiration] Reading configuration from the cluster...
[check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml'

CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
admin.conf                 Nov 15, 2021 06:56 UTC   263d                                    no      
apiserver                  Nov 15, 2021 06:56 UTC   263d            ca                      no      
apiserver-etcd-client      Nov 15, 2021 06:56 UTC   263d            etcd-ca                 no      
apiserver-kubelet-client   Nov 15, 2021 06:56 UTC   263d            ca                      no      
controller-manager.conf    Nov 15, 2021 06:56 UTC   263d                                    no      
etcd-healthcheck-client    Nov 15, 2021 06:56 UTC   263d            etcd-ca                 no      
etcd-peer                  Nov 15, 2021 06:56 UTC   263d            etcd-ca                 no      
etcd-server                Nov 15, 2021 06:56 UTC   263d            etcd-ca                 no      
front-proxy-client         Nov 15, 2021 06:56 UTC   263d            front-proxy-ca          no      
scheduler.conf             Nov 15, 2021 06:56 UTC   263d                                    no      

CERTIFICATE AUTHORITY   EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
ca                      Nov 13, 2030 06:56 UTC   9y              no      
etcd-ca                 Nov 13, 2030 06:56 UTC   9y              no      
front-proxy-ca          Nov 13, 2030 06:56 UTC   9y              no

kubeadm alpha renew all 或者 升级k8s 版本 kubeadm upgrade 官方推荐,一年之内升级一次集群版本,还有个民间方法:修改源代码,再编译生成kubeadm

1、配置kube-controller-manager 组件,从新为kubelet客户端证书颁发(如果已配置请忽略)
2、开启kubelet 证书轮转(如果已配置请忽略)
3、修改node节点时间,重启kubelet

(1)配置kube-controller-manager 组件

  •  - --experimental-cluster-signing-duration=87600h0m0s  为kubelet自动颁发证书的时间,有效期是10年
  • - --feature-gates=RotateKubeletServerCertificate=true   启用server证书颁发配置完成后,重建pod使之生效,启用证书的轮转,证书过期的话,可以自动的续签:

证书的轮转。证书过期自动续签

[root@k8s-node1 ~]# ll /var/lib/kubelet/pki/kubelet-client-current.pem 
lrwxrwxrwx 1 root root 59 Nov 15 15:57 /var/lib/kubelet/pki/kubelet-client-current.pem -> /var/lib/kubelet/pki/kubelet-client-2020-11-15-15-57-15.pem

[root@k8s-node1 ~]# cd /var/lib/kubelet/pki/
[root@k8s-node1 pki]#  openssl x509 -in kubelet-client-current.pem -noout -dates
notBefore=Nov 15 07:52:15 2020 GMT
notAfter=Nov 15 07:52:15 2021 GMT

延长时间之后,那么就不需要管理kubelet这块的证书了,自动长时间就可以去使用。 

可以看到证书的过期时间是一年,自动颁发过期时间是一年

[root@k8s-master ~]# vim /etc/kubernetes/manifests/kube-controller-manager.yaml 
  - command:
    - kube-controller-manager
    - --experimental-cluster-signing-duration=87600h0m0s
    - --feature-gates=RotateKubeletServerCertificate=true


[root@k8s-master ~]# kubectl delete pod kube-controller-manager-k8s-master -n kube-system
pod "kube-controller-manager-k8s-master" deleted

启用server证书颁发,配置完成后,重建pod使之生效:

 (2)开启kubelet 证书轮转

默认kubelet证书轮转已启用: 

# vi /var/lib/kubelet/config.yaml 
... 
rotateCertificates: true

(3)修改node节点时间,重启kubelet

找一台node 节点测试,先查看现有客户端证书有效期:

[root@k8s-node1 pki]#  openssl x509 -in kubelet-client-current.pem -noout -dates
notBefore=Nov 15 07:52:15 2020 GMT
notAfter=Nov 15 07:52:15 2021 GMT

为了方便测试我们,修改服务器时间,模拟证书即将到期: 

[root@k8s-node1 pki]# date
Tue Sep 14 00:00:02 CST 2021
[root@k8s-node1 pki]# date -s "20211114"
Sun Nov 14 00:00:00 CST 2021

重启kubelet 组件,他会验证当前证书有效期,并自动从kube-controller-manager 进行续签

[root@k8s-node1 pki]# systemctl restart kubelet


[root@master pki]# kubectl get csr
NAME        AGE   SIGNERNAME                                    REQUESTOR           CONDITION
csr-vs6dp   13s   kubernetes.io/kube-apiserver-client-kubelet   system:node:node1  Approved,Issued


[root@k8s-node1 pki]# ls
kubelet-client-2020-11-15-15-57-15.pem  kubelet-client-current.pem  kubelet.key
kubelet-client-2021-11-14-00-01-42.pem  kubelet.crt
[root@k8s-node1 pki]# ls -l kubelet-client-current.pem 
lrwxrwxrwx 1 root root 59 Nov 14 00:01 kubelet-client-current.pem -> /var/lib/kubelet/pki/kubelet-client-2021-11-14-00-01-42.pem

[root@k8s-node1 pki]#  openssl x509 -in kubelet-client-current.pem -noout -dates
notBefore=Feb 25 01:50:14 2021 GMT
notAfter=Nov 13 06:56:26 2030 GMT

可以看到这就是10年的时间了,同样其他节点相同操作,这样长时间就不需要管kubelet是否过期了,后面只要考虑管理节点就可以。

可以看到二进制部署的好处,在证书方面是可以控制的,在部署的时候将证书的时间调大一点,在之后的时间之内,都不会出现证书相关的问题。 

转载至https://blog.csdn.net/qq_34556414/article/details/114057422

victoruu
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubelet.crt 过期了,集群竟然还能正常运行?揭秘背后的秘密!
Tommy Xiao
05-18 50
我们在搭建 Kubernetes 集群时,一般只声明用于集群 Master、Etcd等通信的证书 为 10年 或者 更久,但未声明集群 Kubelet 组件证书Kubelet 组件证书 默认有效期为1年。集群运行1年以后就会导致报 certificate has expired or is not yet valid 错误,导致集群 Node不能和集群 Master正常通信。那么这个 kubelet.crt 是干啥的?它是 kubelet 本地端口需要的证书
cert-exporter:Prometheus导出器,可在磁盘和Kubernetes机密中发布证书过期
05-01
证书出口商 Kubernetes使用PKI证书在所有主要组件之间进行身份验证。 这些证书对于群集的运行至关重要,但对于管理员而言通常是不透明的。 此应用程序旨在解析证书并导出到期信息,以供Prometheus抓取。 警告如果在群集中运行此应用程序,则可能需要某种提升的特权。 此外,您还向其公开了非常敏感的信息。 查看源代码! 用法 cert-exporter可以发布有关 以编码的磁盘上的x509证书kubeconfig文件嵌入或引用的证书。 存储在Kubernetes机密中的证书。 这支持诸如应用程序。 有关运行cert-exporter的详细信息以及在集群中运行它的示例,请参阅。 有关如何运行cert-exporter来从您管理的机密(而非cert-manager)中刮取证书的示例,请参阅 。 要启用和清除来自AWS机密的证书,请执行以下操作: go run main.
Kubernetes证书篇:使用TLS bootstrapping简化kubelet证书制作》
东城绝神
05-12 2205
Kubernetes证书篇:使用TLS bootstrapping简化kubelet证书制作》
k8s二进制安装—kubelet证书过期
屈帅波的技术博客
12-25 2125
一.第一种解决方法 1.修改kube-controller-manager.service添加或者修改如下内容 –experimental-cluster-signing-duration=87600h \ 然后执行以下命令重启kube-controller-manager systemctl daemon-reload systemctl restart kube-controller-...
k8s- kubernetes证书过期替换之kubeadm命令 certs renew all方式
liuyij3430448的博客
04-27 5708
**k8s集群之间的访问会使用到证书,如果使用kubeadm搭建的集群,默认CA证书的有效期为10年,其他组件访问证书的有效期为1年。如果过期后没有更新证书可能会引起k8s集群的不可用**
kubernetes二进宫系列——Kubernetes TLS BootStrapping流程引导分析
一别两宽丶各生欢喜
03-04 876
目录 Kubernetes TLS bootstrapping流程引导分析 一、TLS bootstrapping 简介 二、TLS bootstrapping 相关术语 2.1、kubelet server 2.2、CSR请求类型 2.3、KubernetesTLS与RBAC认证 2.4、证书及配置文件作用 三、kubelet初始化流程 四、TLS bootstrapping引导程序初始化流程 Kubernetes TLS bootstrapping流程引导分析 该文章...
Let’s Encrypt免费SSL证书获取以及自动续签
08-03
Let’s Encrypt免费SSL证书获取以及自动续签,配合Nginx实测有效
AMH免费账户自动续签
02-08
Linux面板AMH面板,免费账户自动续签,定时执行脚本无需手动登录网站续签
一行命令,轻松搞定SSL证书自动续期
最新发布
03-05
一行命令,轻松搞定SSL证书自动续期。 SSL证书,SSL证书管理,SSL证书 自动续期,SSL 证书自动更新,https证书管理,https证书管理,证书自动续签,nginx证书自动续期工具,nginx证书管理。
Go-在Kubernetes自动提供和管理TLS证书
08-14
Cert-Manager是一个开源项目,它利用ACME(Automatic Certificate Management Environment)协议与Let's Encrypt等颁发机构交互,以自动化获取和续签X.509 TLS证书。在Kubernetes中集成Cert-Manager,可以极大地...
kubeadm.zip
11-02
7. **证书管理**:kubeadm生成的证书通常有默认的有效期,到期前需要进行续签kubeadm提供了`kubeadm certificate renew`命令来处理这个问题。 8. **备份与恢复**:为了防止数据丢失,建议定期备份kubeadm配置和...
kubectl logs查看容器日志报错“ x509: certificate signed by unknown authority”
weixin_44207346的博客
02-02 1988
kubectl logs 无法查看日志
Kubernetes TLS bootstrapping
Jerry00713的博客
07-12 377
what && why?启动引导过程TLS 作用RBAC 作用kubelet 首次启动流程手动签发证书几个重要术语kubelet serverCSR 请求类型TLS bootstrapping 主要流程细节证书及配置文件作用token.csvbootstarp.kubeconfigkubelet-client.crtkubelet.crtkubelet-server.crtkubelet-client-current.pemkubelet-server-current.pem众所周知 TLS 的作用就是对通
Kubernetes 排错指南-007》Error in configuration: unable to read client-cert* unable to read client-key*
极客点儿
09-10 1884
系统环境: Ubuntu 20.04 LTS Docker 20.10.8 Kubernetes 1.22.1 Node: node 执行命令: $ kubectl version 报错如下: Error in configuration: * unable to read client-cert /var/lib/kubelet/pki/kubelet-client-current.pem for default-auth due to open /var/lib/kubelet/pki/kube
二进制部署k8s多master部署高可用+haproxy
Richardlygo的博客
10-15 2761
前面两篇文章已经配置好了etcd和flannel的网络,现在开始配置k8s master集群。 etcd集群配置参考:二进制搭建kubernetes多master集群【一、使用TLS证书搭建etcd集群】 flannel网络配置参考:二进制搭建kubernetes多master集群【二、配置flannel网络】 本文在以下主机上操作部署k8s集群 k8s-master1:192.168.8...
K8S 更新10年有效期证书
会哭的雨@的博客
03-05 4813
背景: k8s默认证书有效期为1年,需要更新证书有效期&加入证书自动更新机制 因k8s代码策略更新,导致延长有效期会有两套方案 v1.18支持--use-api参数,从controller-manager配置中获取证书有效期时间 kubeadm alpha certs renew all --use-api 接受更新请求 kubeadmcertificate approve REQUEST_NAME v1.19不支持--use-api参数,默..
k8s kubeadm 部署证书续期
qq_36270681的博客
02-03 3765
k8s 证书分为2套,一套是apiserver 和etcd 管理节点:如果是kubeadm 部署则自动生成,二进制一般由cfssl 或者openssl 工作节点: 工作节点主要指kubelet 连接apiserver 所需的客户端证书,这个证书是由controller-manager组件自动颁发,默认是一年,如果到期,kubelet 将无法使用过期的证书连接apiserver,日志将会报错 (x509:certificate has expired or is not yet valid) 红线:
Kubelet 启动异常排查
热门推荐
小楼一夜听春雨,深巷明朝卖杏花
04-15 1万+
服务器启动异常排查的方法故障一 这种kubelet启动失败的排查方法和所有systemd管理的服务排查方法相同,从检查服务状态和日志开始: 检查kubelet服务状态: systemctl status kubelet 显示输出: ● kubelet.service - kubelet: The Kubernetes Node Agent Loaded: loaded (/lib/systemd/system/kubelet.service; enabled; vendo...
部署Node节点 配置kubelet证书自动申请 CSR、审核及自动续期
码农崛起
02-09 4551
apiserver 预先放置 token.csv,内容样例如下,master节点的token格式 id,用户名,编号,组 [root@localhost cfg]# cat token.csv d3f6263fa65e375967541947834b3988,kubelet-bootstrap,10001,"system:kubelet-bootstrapper" 允许 kubelet-bootstrap 用户创建首次启动的 CSR 请求 和RBAC授权规则 kubectl create ...
宝塔ssl验证域名失败_宝塔面板开启反向代理后,怎么自动续签Let's Encrypt免费SSL证书...
06-02
宝塔面板开启反向代理后,需要在反向代理服务中添加一些特定的配置来实现自动续签Let's Encrypt免费SSL证书。 以下是实现的步骤: 1. 登录到宝塔面板,选择需要开启反向代理的网站,并进入网站设置。 2. 在网站设置页中,找到“SSL”选项卡,并开启“Let's Encrypt”功能,保存设置。 3. 返回网站设置页,找到“反向代理”选项卡,添加反向代理服务,并保存设置。 4. 在反向代理服务中添加以下配置信息: ``` location ~ /\.well-known/acme-challenge { allow all; root /www/wwwroot/[网站目录]; } ``` 其中,[网站目录]为你的网站根目录。 5. 配置完成后,等待一段时间后,Let's Encrypt证书将会自动续签。 需要注意的是,以上步骤仅适用于宝塔面板开启反向代理后自动续签Let's Encrypt证书。如果你的问题是宝塔ssl验证域名失败,可能是因为你的域名解析设置有误,或者证书申请过程中出现了其他错误,请仔细检查并解决相应问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值