离线状态下k8s集群证书续期

最新推荐文章于 2024-05-15 18:27:43 发布
最新推荐文章于 2024-05-15 18:27:43 发布
阅读量414 收藏 1
点赞数
文章标签: 运维 docker devops
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34711818/article/details/110558767
版权

openssl x509 -noout -dates -in /etc/kubernetes/pki/apiserver.crt

生成一个集群配置的yaml文件:

kubeadm config view > cluster.yaml

 Step 1): Backup old certs and kubeconfigs 备份所有证书和文件 mkdir /etc/kubernetes.bak cp -r /etc/kubernetes/pki/ /etc/kubernetes.bak cp /etc/kubernetes/*.conf /etc/kubernetes.bak #

Step 2): Renew all certs 更新证书 kubeadm alpha certs renew all --config kubeadm.yaml

上面全量更新如果有报错可以执行以下步骤来更新证书

kubeadm alpha certs renew apiserver-kubelet-client --config cluster.yaml

kubeadm alpha certs renew front-proxy-client --config cluster.yaml

kubeadm alpha certs renew apiserver --config cluster.yaml #

Step 3): Renew all kubeconfigs 更新配置文件

kubeadm alpha kubeconfig user --client-name=admin

kubeadm alpha kubeconfig user --org system:masters --client-name kubernetes-admin > /etc/kubernetes/admin.conf

kubeadm alpha kubeconfig user --client-name system:kube-controller-manager > /etc/kubernetes/controller-manager.conf

kubeadm alpha kubeconfig user --org system:nodes --client-name system:node:$(hostname) > /etc/kubernetes/kubelet.conf

kubeadm alpha kubeconfig user --client-name system:kube-scheduler > /etc/kubernetes/scheduler.conf 

Step 4): Copy certs/kubeconfigs and restart Kubernetes services

以下重启都是在master上操作

systemctl restrat kubelet

docker restart $(docker ps | grep k8s_kube-apiserver_kube-apiserver | awk -F " " '{print $1}') 不重启无法与apiserver通信,即kubectl无法使用

docker restart $(docker ps | grep k8s_kube-controller-manager | awk -F " " '{print $1}') 不重启无法实现更新pod

docker restart $(docker ps | grep k8s_kube-scheduler | awk -F " " '{print $1}') 不重启无法调度pod

如履薄冰217
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
k8s笔记7-离线部署(类生产环境)更新中
chang_rj的博客
02-22 959
node离线部署docker 参考:https://blog.csdn.net/JyuSun/article/details/77927865#commentBox
线安装k8s
weixin_34059951的博客
12-16 356
一、环境信息: 环境信息(采用一个master节点+两个node节点) master 172.16.20.11 node1 172.16.20.12 node2 172.16.20.13 操作系统版本 CentOS Linux release 7.5.1804 (Core 二、下载离线包: 链接:https://pan.baidu.com/s/1sPSp...
k8s证书续期
最新发布
weixin_40668374的博客
05-15 307
如果证书即将到期,此处的天数应该是几天,在过期之前进行续期,保证集群的可用。6.再次查看期限,检查服务是否正常。避免出现问题可以回退。5.替换更新后的文件。
解决K8S证书过期步骤(续一年)
weixin_41914251的博客
06-25 1902
K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/pki 路径下,kubeadm 生成的证书默认有效为 1 年,因此需要定时更新证书,否则证书到期会导致整个集群不可用。本篇文章主要介绍如何通过 kubeadm 重新生成证书。有其他的办法可以更长时间的延长证书。8、替换kubeconfig。9、查看证书时间(续一年)7、重启kubelet。4、重新生成全部证书。6、生成所有配置文件。
kubeadm 进行续费证书
清风笑烟语
05-21 161
【代码】kubeadm 进行续费证书
Kubernetes(k8s)1.14 离线版集群 - 创建CA证书、秘钥和部署kubectl工具
esqabc的博客
10-28 719
声明: 如果您有更好的技术与作者分享,或者商业合作; 请访问作者个人网站 http://www.esqabc.com/view/message.html 留言给作者。 如果该案例触犯您的专利,请在这里:http://www.esqabc.com/view/message.html 留言给作者说明原由 作者一经查实,马上删除 1、安装CA证书生成工具 a、创建证书文件夹 [root@k8s-01 ...
线部署k8s_1.18.3集群(二进制方式).zip
05-06
线部署 Kubernetes (k8s) 集群是一项复杂但必要的任务,特别是在网络环境受限或者没有互联网连接的环境中。本文将详细介绍如何通过二进制方式在Linux环境下部署k8s v1.18.3集群,同时涵盖相关组件如Docker、etcd和...
K8S集群证书监控ssl-exporter监控模板
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
安装k8s 1.28 所需的离线镜像包
03-19
部署k8s1.28集群所需离线镜像包,已经为大家准备好了,大家有需要可以自行下载,下载后部署的方法,在主页k8s专栏的文章中有详细说明,如果大家有疑问可以查看文章,或者私信我,我会尽快回复,谢谢大家 registry....
K8s集群离线部署步骤
05-06
K8s集群离线部署步骤
k8s证书修改为10年文件
06-13
默认情况下,k8s的证书有效期通常为一年,但这可能会导致在证书即将到期时需要频繁进行更新,增加了管理负担。本教程将详细介绍如何将k8s证书的生命周期延长至10年,从而减少维护工作。 首先,我们需要理解k8s证书...
Kubernetes证书过期的离线解决方案
ftzchina的博客
05-22 2896
一:证书过期原因 默认使用kubeadm创建的集群其构成组件apiserver、controller-manager等证书默认只有一年的有效期,同时kubelet 证书也只有一年有效期,一年之后 kubernetes 将停止服务。官方推荐一年之内至少用 kubeadm upgrade 更新一次 kubernetes 系统,更新时也会自动更新证书。不过很多环境频繁更新 kubernetes 不太现实。网上大部分资料都是在线情况下进行证书延期操作,如果在不访问互联网的情况下,如何进行证书延期,现在很多生产环境
kubernetes 1.14版本证书过期
weixin_43860798的博客
02-28 451
kubernetes 1.14版本证书过期 kubernetes 1.15版本之后,官方文档有证书过期方式 但是1.14版本及以前的,更新证书经常出现问题,现在整理一下 1 查看证书过期时间 find /etc/kubernetes/pki -name "*.crt"|xargs -I{} openssl x509 -in {} -noout -dates|grep notAfter 2 备份证书 cp -r /etc/kubernetes /etc/kubernetes.bak 3 更新证书 3.1
编译kubeadm续签k8s1.22.0高可用集群证书100年
因上努力,果上随缘。但行好事,莫问前程。
04-26 950
目录一、查看证书过期时间1.1 方式一1.2 方式二二、通过命令续期2.1 查看证书有效期2.2 备份原有数据2.3 备份证书2.4 更新证书2.5 确认证书有效期2.6 更新kubeconfig文件2.7 更新客户端证书2.8 重启相关的pod2.9 检查当前集群状态是否正常2.10 检查etcd集群状态三、编译源码kubeadm,证书时间自定义3.1 备份集群配置3.2 获取对应的kubeadm源码3.3 修改CA证书有效期3.4 修改其他证书有效期3.5 安装go环境进行编译3.6 go设置国内代理3
k8s kubeadm 部署证书续期
qq_36270681的博客
02-03 3766
k8s 证书分为2套,一套是apiserver 和etcd 管理节点:如果是kubeadm 部署则自动生成,二进制一般由cfssl 或者openssl 工作节点: 工作节点主要指kubelet 连接apiserver 所需的客户端证书,这个证书是由controller-manager组件自动颁发,默认是一年,如果到期,kubelet 将无法使用过期的证书连接apiserver,日志将会报错 (x509:certificate has expired or is not yet valid) 红线
使用 kubeadm 进行证书管理
yuxingwu9872的博客
04-22 785
使用 kubeadm certs renew 命令 可以随时手动续订证书,该命令使用存储在/etc/kubernetes/pki中的 CA (or front-proxy-CA)证书和密钥来更新证书。c.重启 kube-apiserver、kube-controller-manager、kube-scheduler、etcd 组件后生效。修改kube-controller-manager启动参数(所有master节点修改)重启kube-controller-manager和kubelet。
k8s组件证书续期
xgw的专栏
02-20 293
K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/pki 路径下,由 kubeadm 生成的客户端证书在 1 年后到期,因此需要定时更新证书,否则证书到期会导致整个集群不可用。
k8s证书过期---手动更新
lcm_linux的博客
03-17 5701
背景: 执行命令发现报错: Unable to connect to the server: x509: certificate has expired or is not yet valid 这就是k8s的证书过期了 k8s解决证书过期官方文档:https://kubernetes.io/zh/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/ 查看是k8s master 节点证书过期了,登录master服务器,进入 /etc/kubernetes/
Kubernetes Kubeadm Kubelet 证书自动续签
Vic的博客
10-28 1568
• 工作节点:工作节点主要是指kubelet连接apiserver所需的客户端证书,这个证书由controller-manager组件自动颁发,默认是一年,如果到期,kubelet将无法使用过期的证书连接apiserver,从而导致无法正常工作,日志会给出证书过期错误(x509: certificate has expired or is not yet valid)(工作节点容易忽略掉证书有效期)容易过期的是ca证书派发出来的证书文件,这里的过期时间是客户端的证书。因为访问控制就是基于证书进行授权的。
线部署 k8s集群
10-11
线部署k8s集群需要以下步骤: 1. 下载所需的镜像文件并打包为离线安装包。 2. 配置离线节点的环境,包括Docker和Kubernetes环境。 3. 安装和配置etcd、kube-apiserver、kube-controller-manager和kube-scheduler...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值