实战:k8s证书续签-2023.6.19(测试成功)

最新推荐文章于 2024-04-15 08:32:06 发布
最新推荐文章于 2024-04-15 08:32:06 发布
阅读量3.1k 收藏 3
点赞数 1
文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39246554/article/details/131346717
版权

实战:k8s证书续签-2023.6.19(测试成功)

image-20230619075845896

目录

image-20230623055027807

推荐文章

https://www.yuque.com/xyy-onlyone/aevhhf?# 《玩转Typora》

image-20230619080407452

1、前言

k8s集群核心的证书有2套,还有1套非核心的(即使出问题也问题不大)。

image-20230617114649613

⚠️ 如果是kubeadm搭建的k8s集群,其有效期为1年。

二进制搭建可以指定证书过期时间的。

2、续签过程

image-20230618074006448

  • 测试环境
1、win10,vmwrokstation虚机;
2、k8s集群:3台centos7.6 1810虚机,1个master节点,2个node节点
   k8s version:v1.20.0
   docker://20.10.7
  • 测试软件(无)

①查看证书有效期

k8s证书目录:/etc/kubernetes/pki

image-20230619072632649

方法1:

kubeadm certs check-expiration

image-20230619072002763

上面:客户端证书

下面:根证书

这个证书时间是在哪个程序里控制的呢? --kubeadm源码。

如何解决k8s证书过期问题?

1、修改kubeadm源码里面证书默认有效期

2、kubeadm certs续签证书

3、升级k8s集群版本

方法2:

openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -dates

image-20230619072249318

方法3:

echo |openssl s_client -showcerts -connect 127.0.0.1:6443 -servername api 2>/dev/null|openssl x509 -noout -enddate

image-20230619072512009

②续签证书

1、备份

[root@k8s-master1 ~]#cp -r /etc/kubernetes/ /etc/kubernetes.bak
[root@k8s-master1 ~]#cp -r /var/lib/etcd/ /var/lib/etcd.bak

2、续签证书

kubeadm certs renew all

image-20230619073114759

3、重启生效证书

kubectl delete po kube-apiserver-k8s-master1 kube-controller-manager-k8s-master1 kube-scheduler-k8s-master1 etcd-k8s-master1 -nkube-system

image-20230619073253236

image-20230619073315321

4、kubectl使用新配置文件

cp -f /etc/kubernetes/admin.conf  $HOME/.kube/config

image-20230619073451853

⚠️ 注意:

如果是多master,其它证书和配置文件拷贝过去覆盖或者做上述同样操作。

③测试

image-20230619073543231

image-20230619073659029

image-20230619073717117

3、建议

建议:

对k8s集群证书有效期做好监控。

对https网站的域名证书做好监控。

关于我

我的博客主旨:

  • 排版美观,语言精炼;
  • 文档即手册,步骤明细,拒绝埋坑,提供源码;
  • 本人实战文档都是亲测成功的,各位小伙伴在实际操作过程中如有什么疑问,可随时联系本人帮您解决问题,让我们一起进步!

🍀 微信二维码
x2675263825 (舍得), qq:2675263825。

image-20230107215114763

🍀 微信公众号
《云原生架构师实战》

image-20230107215126971

🍀 语雀

https://www.yuque.com/xyy-onlyone

image-20230515221819681

🍀 csdn
https://blog.csdn.net/weixin_39246554?spm=1010.2135.3001.5421

image-20230107215149885

🍀 知乎
https://www.zhihu.com/people/foryouone

image-20230107215203185
2135.3001.5421)

[外链图片转存中…(img-W3hWsQut-1687471061620)]

🍀 知乎
https://www.zhihu.com/people/foryouone

[外链图片转存中…(img-d5AZKoww-1687471061620)]

一念一生~one
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s-images-v1.20.4.tar.gz
12-29
k8s1.20.4需要用到的一些img
k8s-single-master.tar.gz
04-07
k8s-single-master.tar.gz
解决K8S证书过期步骤(续一年)
weixin_41914251的博客
06-25 1772
K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/pki 路径下,kubeadm 生成的证书默认有效为 1 年,因此需要定时更新证书,否则证书到期会导致整个集群不可用。本篇文章主要介绍如何通过 kubeadm 重新生成证书。有其他的办法可以更长时间的延长证书。8、替换kubeconfig。9、查看证书时间(续一年)7、重启kubelet。4、重新生成全部证书。6、生成所有配置文件。
k8skubernetes证书续期
球球的博客
05-31 5150
简介 kubernetes集群上kubeadm 安装的证书默认为 1 年,注意原证书文件必须保留在服务器上才能做延期操作,否则就会重新生成,集群可能无法恢复,这里在证书快到期之前进行续期操作。 具体操作 查看证书到期时间 一般k8s证书文件都在/etc/kubernetes/pki/下 openssl x509 -noout -text -in /etc/kubernetes/pki/apiserver.crt 多个证书一起查看到期时间 for item in `find /etc/kubernetes/
k8skubernetes证书续期_kubernetes 多master更新证书
最新发布
2401_83739503的博客
04-15 762
本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。kubernetes集群上kubeadm 安装的证书默认为 1 年,注意原证书文件必须保留在服务器上才能做延期操作,否则就会重新生成,集群可能无法恢复,这里在证书快到期之前进行续期操作。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。
K8S集群 - 证书续期及注意事项
caryeko的专栏
10-27 408
重启容器kube-apiserver、kube-controller-manager、kube-scheduler组件容器。2023年10月26日,预发环境的K8S kubectl命令报错,提示证书到期。
kubernetes(1.23)证书过期如何续期
老段工作室
04-27 2437
通过kubeadm安装的kubernetes集群各个组件所使用证书的期限为1年,本实验练习的是到期之后如何续期。
asa941-smp-k8:asa962-smp-k8.zip
04-08
思科asa防火墙系统镜像iOS,941、962版本打包下载,支持全系asa产品;支持pbr等升级功能;
cri-dockerd-0.3.3.el7.x86-64.rpm
06-17
cri-dockerd-0.3.3.el7.x86-64.rpm
k8s-1.20.4.image
02-23
通过kubeadm安装k8s时需要下载的镜像,镜像版本1.20.4,镜像源为阿里源。 镜像列表: kube-apiserver:v1.20.4 kube-controller-manager:v1.20.4 kube-scheduler:v1.20.4 kube-proxy:v1.20.4 pause:3.2 etcd:3.4.13-0...
K8S集群证书续期:使用 kubeadm certs renew 命令来更新证书
学亮编程手记
11-06 1157
如果你对此类证书的更新没有特殊要求, 并且定期执行 Kubernetes 版本升级(每次升级之间的间隔时间少于 1 年), 则 kubeadm 将确保你的集群保持最新状态并保持合理的安全性。随着 kubernetes 集群的使用,某一天证书过期了,此时 kubernetes 集群将无法正常使用,比如:kubectl 命令执行会产生错误(为防止更新证书等操作失败,关键操作前一定要进行备份。在实际中,如果遇到证书过期,则需手动更新证书,通过。很明显,这是证书过期导致,只需更新证书即可。命令,查看证书过期时间。
k8s kubeadm高可用集群证书续期
ApexPredator的博客
06-14 2176
k8s kubeadm高可用集群证书续期
k8s- kubernetes证书过期替换之kubeadm命令 certs renew all方式
liuyij3430448的博客
04-27 5357
**k8s集群之间的访问会使用到证书,如果使用kubeadm搭建的集群,默认CA证书的有效期为10年,其他组件访问证书的有效期为1年。如果过期后没有更新证书可能会引起k8s集群的不可用**
k8s集群证书续签
m0_59424504的博客
06-03 247
x509:certificate has expired or is not yet valid
关于 K8s 集群中证书期限确认及续约的一些笔记
山河已无恙
12-27 1643
嗯,k8s集群CA 证书突然过期了,所有这里整理相关笔记博文内容涉及:如何确认证书是否过期通过kubeadm批量续约证书 Demo理解不足小伙伴帮忙指正一切一切,凡已属于和能属于这世界的一切,都无可避免地带有以主体为条件[的性质] ,并且也仅仅是只为主体而存在,世界即是表象 -----《作为意志和表象的世界》 (世界作为表象初论)
k8s集群证书有效期修改
xhredeem的博客
01-16 2924
kubeadm 部署k8s集群证书有效期修改
更新 k8s 证书续签
poemchapter的博客
09-22 434
更新 k8s 证书续签
--- apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: janssen-sso-ing annotations: nginx.ingress.kubernetes.io/ssl-redirect: "true" spec: ingressClassName: nginx rules: - host: epm-qa.myxjp.com http: paths: - path: / pathType: Prefix backend: ## 指定需要响应的后端服务 service: name: pai-janssen-sso-svc ## kubernetes集群的svc名称 port: number: 8080 ## service的端口号 tls: - hosts: - epm-qa.myxjp.com secretName: https
06-06
这也是一个 Kubernetes Ingress 对象的 YAML 配置文件。该 Ingress 对象名为 "janssen-sso-ing",同样使用了 Nginx Ingress 控制器,并指定了规则: - 当请求的域名为 "epm-qa.myxjp.com" 时,将请求转发到名为 ... ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值