[经验交流] kubeadm 安装 kubernetes 一年过期的解决办法

最新推荐文章于 2023-10-27 15:18:39 发布
最新推荐文章于 2023-10-27 15:18:39 发布
阅读量305 收藏
点赞数
原文链接:http://www.cnblogs.com/hahp/p/8440743.html
版权

kubeadm 是 kubernetes 提供的一个初始化集群的工具,使用起来非常方便。但是它创建的apiserver、controller-manager等证书默认只有一年的有效期,同时kubelet 证书也只有一年有效期,一年之后 kubernetes 将停止服务。官方推荐一年之内至少用 kubeadm upgrade 更新一次 kubernetes 系统,更新时也会自动更新证书。不过,在产线环境或者无法连接外网的环境频繁更新 kubernetes 不太现实。可以修改 kubeadm, 让它初始化集群时创建10年或其它有效期的apiserver、controller-manager证书,同时配合kubelet证书自动轮换机制来解决这个问题。

转载注明原作者地址:http://www.cnblogs.com/hahp

本文适用于 kubernetes 1.9.X

1. 修补 kubeadm

下面是我的源代码补丁,请给所需要的 kubernetes 版本打上,然后重新编译 kubeadm,用新编译的 kubeadm 初始化集群:

diff -Nur kubernetes.orig/vendor/k8s.io/client-go/util/cert/cert.go kubernetes/vendor/k8s.io/client-go/util/cert/cert.go
--- kubernetes.orig/vendor/k8s.io/client-go/util/cert/cert.go    2018-02-07 17:14:40.553612448 +0800
+++ kubernetes/vendor/k8s.io/client-go/util/cert/cert.go    2018-02-10 17:20:48.301330560 +0800
@@ -104,7 +104,7 @@
         IPAddresses:  cfg.AltNames.IPs,
         SerialNumber: serial,
         NotBefore:    caCert.NotBefore,
-        NotAfter:     time.Now().Add(duration365d).UTC(),
+        NotAfter:     time.Now().Add(duration365d * 10).UTC(),
         KeyUsage:     x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature,
         ExtKeyUsage:  cfg.Usages,
     }
@@ -149,7 +149,7 @@
             CommonName: fmt.Sprintf("%s@%d", host, time.Now().Unix()),
         },
         NotBefore: time.Now(),
-        NotAfter:  time.Now().Add(time.Hour * 24 * 365),
+        NotAfter:  time.Now().Add(time.Hour * 24 * 3650),
 
         KeyUsage:              x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature | x509.KeyUsageCertSign,
         ExtKeyUsage:           []x509.ExtKeyUsage{x509.ExtKeyUsageServerAuth},

2. 自动轮换 kubelet 证书

注:kubelet证书分为server和client两种, k8s 1.9默认启用了client证书的自动轮换,但server证书自动轮换需要用户开启。方法是:

2.1 增加 kubelet 参数

--feature-gates=RotateKubeletServerCertificate=true

2.2 增加 controller-manager 参数

--experimental-cluster-signing-duration=87600h0m0s
--feature-gates=RotateKubeletServerCertificate=true

2.3 创建 rbac 对象

创建rbac对象,允许节点轮换kubelet server证书:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "true"
  labels:
    kubernetes.io/bootstrapping: rbac-defaults
  name: system:certificates.k8s.io:certificatesigningrequests:selfnodeserver
rules:
- apiGroups:
  - certificates.k8s.io
  resources:
  - certificatesigningrequests/selfnodeserver
  verbs:
  - create
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: kubeadm:node-autoapprove-certificate-server
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:certificates.k8s.io:certificatesigningrequests:selfnodeserver
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: system:nodes

  

转载于:https://www.cnblogs.com/hahp/p/8440743.html

weixin_33688840
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于kubeadm安装kubernetes v1.22 ansible安装
08-08
基于kubeadm安装kubernetes v1.22 ansible安装
服务账户service accountkubernetes1.24中的变化
weixin_45081220的博客
07-08 605
当创建pod时需要在pod里的.spec.serviceAccount指定pod以哪个service account运行,如果没有指定的话则默认使用default这个sa。然后通过投射卷,在pod的目录/run/secrets/kubernetes.io/serviceaccount/会有一个文件token,里面包括了容器所能用到令牌。我们通过RBAC对sa授了什么权限,那么容器里的app拿着这个token,就具备了什么权限。那么pod里的这个token是从哪里来的呢?我们分几个版本的kubernetes
Kubeadm安装的K8S集群1年证书过期问题的解决思路
weixin_30509393的博客
03-07 1824
这个问题,很多使用使用kubeadm的用户都会遇到。 网上也有类似的帖子,从源代码编译这种思路, 在生产环境,有些不现实。 还是使用kubeadm的命令操作,比较自然一点。 当然,自行生成一套证书,也是在新安装集群里,可以考虑的方案。 =============================================== .问题起源 kubeadmku...
Kubernetes Kubeadm Kubelet 证书自动续签
Vic的博客
10-28 1607
• 工作节点:工作节点主要是指kubelet连接apiserver所需的客户端证书,这个证书由controller-manager组件自动颁发,默认是一年,如果到期,kubelet将无法使用过期的证书连接apiserver,从而导致无法正常工作,日志会给出证书过期错误(x509: certificate has expired or is not yet valid)(工作节点容易忽略掉证书有效期)容易过期的是ca证书派发出来的证书文件,这里的过期时间是客户端的证书。因为访问控制就是基于证书进行授权的。
Kubernetes证书篇:使用TLS bootstrapping简化kubelet证书制作》
东城绝神
05-12 2252
Kubernetes证书篇:使用TLS bootstrapping简化kubelet证书制作》
K8S集群 - 证书续期及注意事项
最新发布
caryeko的专栏
10-27 487
重启容器:kube-apiserver、kube-controller-manager、kube-scheduler组件容器。2023年10月26日,预发环境的K8S kubectl命令报错,提示证书到期。
基于kubeadm安装kubernetes v1.21 ansible安装
08-08
基于kubeadm安装kubernetes v1.21 ansible安装
基于kubeadm安装kubernetes v1.20 ansible安装
08-08
基于kubeadm安装kubernetes v1.20 ansible安装
基于kubeadm安装kubernetes v1.23(Containerd) ansible安装
08-08
基于kubeadm安装kubernetes v1.23(Containerd) ansible安装
使用Kubeadm工具快速安装Kubernetes集群.pdf
10-20
使用Kubeadm工具快速安装Kubernetes集群 本文档主要介绍使用Kubeadm工具快速安装Kubernetes集群的步骤和详细配置过程。KubeadmKubernetes官方提供的一个用于快速安装和管理Kubernetes集群的工具。通过本文档,...
k8s二进制安装kubelet证书过期
屈帅波的技术博客
12-25 2157
一.第一种解决方法 1.修改kube-controller-manager.service添加或者修改如下内容 –experimental-cluster-signing-duration=87600h \ 然后执行以下命令重启kube-controller-manager systemctl daemon-reload systemctl restart kube-controller-...
K8S 更新10年有效期证书
会哭的雨@的博客
03-05 4882
背景: k8s默认证书有效期为1年,需要更新证书有效期&加入证书自动更新机制 因k8s代码策略更新,导致延长有效期会有两套方案 v1.18支持--use-api参数,从controller-manager配置中获取证书有效期时间 kubeadm alpha certs renew all --use-api 接受更新请求 kubeadmcertificate approve REQUEST_NAME v1.19不支持--use-api参数,默..
部署Node节点 配置kubelet证书自动申请 CSR、审核及自动续期
码农崛起
02-09 4685
apiserver 预先放置 token.csv,内容样例如下,master节点的token格式 id,用户名,编号,组 [root@localhost cfg]# cat token.csv d3f6263fa65e375967541947834b3988,kubelet-bootstrap,10001,"system:kubelet-bootstrapper" 允许 kubelet-bootstrap 用户创建首次启动的 CSR 请求 和RBAC授权规则 kubectl create ...
kubelet TLS
weixin_33754065的博客
10-03 549
一、TLS bootstrapping 简介 Kubernetes 在 1.4 版本(我记着是)推出了 TLS bootstrapping 功能;这个功能主要解决了以下问题: 当集群开启了 TLS 认证后,每个节点的 kubelet 组件都要使用由 apiserver 使用的 CA 签发的有效证书才能与 apiserver 通讯;此时如果节点多起来,为...
kubernetes集群证书一年过期,如何续期
小楼一夜听春雨,深巷明朝卖杏花
02-25 2057
模拟证书过期kubeadm部署的集群,所生成的证书证书有效期为一年过期之后集群就不能再次使用了,我们可以对证书进行续期,这样集群就可以继续使用。可以通过如下命令查看具体过期时间: kubeadm alpha certs check-expiration 这里显示证书在2021年7月5日过期,然后把所有节点的系统时间调整到 2022年10月1日: 所有节点的时间都要调整。 然后在master(vms71上)执行kubectl命令: [root@vms71 ~]# kubectl
k8s(kubernetes)证书续期
球球的博客
05-31 5564
简介 kubernetes集群上kubeadm 安装的证书默认为 1 年,注意原证书文件必须保留在服务器上才能做延期操作,否则就会重新生成,集群可能无法恢复,这里在证书快到期之前进行续期操作。 具体操作 查看证书到期时间 一般k8s证书文件都在/etc/kubernetes/pki/下 openssl x509 -noout -text -in /etc/kubernetes/pki/apiserver.crt 多个证书一起查看到期时间 for item in `find /etc/kubernetes/
(二进制安装)k8s1.9 证书过期及开启自动续期方案.md
热门推荐
可可飞扬的博客
03-19 1万+
kubelet证书过期处理方案 集群中某node状态为notReady,apiserver 报错Unable to authenticate the request due to an error: x509: certificate has expired or is not yet valid 1 查看证书有效期 openssl x509 -in /etc/ssl/k8s/kubelet.cr...
kubernetes证书过期问题的解决 (kubernetes v1.11.5 包括node部分)
weixin_34041003的博客
05-27 1183
一、备份证书和配置文件备份证书sudomv/etc/kubernetes/pki/apiserver.key/etc/kubernetes/pki/apiserver.key.oldsudomv/etc/kubernetes/pki/apiserver.crt/etc/kubernetes/pki/apiserver.crt.oldsudomv/etc/ku...
使用Kubeadm安装Kubernetes 1.15教程
"使用Kubeadm安装Kubernetes1.15的详细步骤与注意事项" 在Kubernetes的世界中,Kubeadm是一个非常重要的工具,它简化了集群的初始化和节点加入过程。本文档详细记录了一次使用Kubeadm安装Kubernetes 1.15版本的过程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值