解决k8s集群 Unable to connect to the server: x509: certificate is valid for xxx, not xxx问题

最新推荐文章于 2024-05-16 10:37:11 发布
最新推荐文章于 2024-05-16 10:37:11 发布
阅读量1.2k 收藏 4
点赞数
文章标签: kubernetes docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39518516/article/details/132040900
版权

为了能使本地能连接k8s集群更好的测试client-功能,在服务器上为本地签发了kubeconfig文件,放到本地之后出现如下的错误。

 通过查阅资料发现了一个kubectl的参数--insecure-skip-tls-verify,加上这个参数之后确实好使了,但是,总是感觉治标不治本,所以经过一番查阅是apiserver的证书中没有添加192.168.2.8这个ip导致的,需要重新生成一下证书,具体操作如下:

1、查看apiserver证书信息(master节点)

# cd /etc/kubernetes/pki 
# openssl x509 -noout -text -in apiserver.crt |grep IP

从上面可以看出ip中并没有报错信息中的192.168.2.8这个IP地址,所以需要重新生成(截图为修改好的)。

2、删除旧证书

为了保险起见,这里选择将证书移动到其他位置。

# mkdir -pv /opt/cert
# mv apiserver.* /opt/cert

3、生成新的apiserver证书

# kubeadm init phase certs apiserver \
--apiserver-advertise-address 172.19.8.107 \
--apiserver-advertise-address 172.19.8.100 \
--apiserver-cert-extra-sans 127.0.0.1 \
--apiserver-cert-extra-sans 172.16.0.1 \
--apiserver-cert-extra-sans 0:0:0:0:0:0:0:1 \
--apiserver-cert-extra-sans 172.19.8.106 \
--apiserver-cert-extra-sans 172.19.8.107 \
--apiserver-cert-extra-sans 192.168.2.8 \
--apiserver-cert-extra-sans 180.168.9.2 

--apiserver-cert-extra-sans参数后可以加上需要添加的IP地址,这里为了省事儿一次性添加了多个,具体情况按需添加即可。

 4、检查证书

# ls apiserver.*
# apiserver.crt  apiserver.key

通过检查可以看到新的证书已经成了,现在只需要重启apiserver即可。如果出现问题,可以删除新的证书,将老的证书移回原位,重启apiserver即可。

5、重启服务

# kubectl get pod -n kube-system
# kubectl delete pod kube-apiserver-gc-k8s-prod-master-1   -n kube-system
# kubectl delete pod kube-apiserver-gc-k8s-prod-master-2   -n kube-system
# kubectl delete pod kube-apiserver-gc-k8s-prod-master-3   -n kube-system

如果是kube-apiserver重启(首先确认kube-apiserver Pod在那个node节点上,保证该节点有kube-apiserver.yaml中所需的pki文件)
# cd  /etc/kubernetes/manifests
# kubectl delete -f kube-apiserver.yaml
# kubectl apply -f  kube-apiserver.yaml

 

勤劳小鸟
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Rancher入门到精通-2.0 Unable to connect to the server: x509: certificate is valid for ingress.local, not
隔壁老瓦的专栏
10-28 1万+
kubectl apply -f https://rancher.test.cn/v3/import/xlxwdf6fz6jtgrfcmscs79msn8dkmjbs87p42npgcktjkx2q7shpx5.yaml Unable to connect to the server: x509: certificate is valid for ingress.local, not ranch...
k8s集群下canal-server的伪高可用实践
01-07
k8s集群下canal-server的伪高可用实践前言问题解决方案总结 前言 前面我们已经介绍了canal的admin、server、adapter三个部分的容器化以及在k8s集群下的搭建过程。在创建canal-server的时候,k8s环境下,容器重启会...
K8S上生产环境后,90%都会遇到这个故障
didiplus
03-27 784
它提供一个命令,也是可以直接对这些客户端证书进行升级,不过在升级之前,我们先将一些数据给备份一下,以免在升级的过程中,产生一些额外的问题,好方便进行去恢复。通过这个命令可以查看当前所有证书它的一个有效期,可以看到证书的有效期剩余342天。下面是它的根证书,默认是10年,也就是。而这根证书一旦发生变化,它的影响范围就比较大了,所以,它的根证书默认是10年,是完全足够用的。也提供了一个命令方式,可以自动的给你续签这所有的证书。在搭建集群中自动生成的,所以,它管理证书也是通过。将所有的证书升级,续期一年。
Unable to connect to the server: x509: certificate is valid for问题解决
doublepg13的博客
10-23 2772
我们的kubernetes的apiserver-advertise-address是一个内网IP,默认情况下,kubernetes自建的CA会为apiserver签发一个证书,证书的默认可访问的是内网IP、kuberneteskubernetes.default kubernetes.default.svc、kubernetes.default.svc.cluster.local,不包含设备的外网IP。通过如下命令查看kubernetes的admin.conf中的证书的有效期,看是否有效。
kubectl Unable to connect to the server: tls: failed to verify certificate: x509: certificate signed
最新发布
寂夜了无痕的博客
05-16 1161
kubectl Unable to connect to the server: tls: failed to verify certificate: x509: certificate signed
k8s Unable to connect to the server: x509: certificate is valid
05-25
k8s Unable to connect to the server: x509: certificate is valid for问题解决
访问k8s集群出现Unable to connect to the server: x509: certificate is valid for xxx, not xxx问题解决
xin980724的博客
09-11 275
上边的命令中${apiserver-ip1} ${apiserver-ip2} ${apiserver-ip3}根据自己集群的实际情况进行调整。如果需要增加更多的地址,可以继续在命令里增加 --apiserver-cert-extra-sans ${apiserver-ip}参数。此时可以看到生成了新的apiserver证书。删除旧apiserver证书。生成新apiserver证书。查看apiserver证书。证书中没有所需的ip地址。重启apiserver
基于x509-certificate-exporter实现K8S集群SSL证书监控资源清单
11-10
原文链接:https://blog.csdn.net/m0_37814112/article/details/134241442
坑人,彻底明白:Linux服务器:k8sKubernetes)安装网络插件calico无法下载,无法启动的问题解决
01-13
解决地址如下: https://blog.csdn.net/qq120631157/article/details/128672524 无积分的同学,请联系我。 1. 首先确定 k8s的版本,我的为1.20.9 ```sh kubectl get nodes NAME STATUS ROLES AGE VERSION master01 ...
k8s集群下canal-adapter连接canal-server实践
01-07
k8s集群下adapter连接server域名问题改造前言问题解析解决方案 前言 成也容器重启,败也容器重启,说好的重启治百病,在容器这里,是重启出百病啊! 之前说过,我们使用statefuset类型使canal-server域名固定之后又...
登录harbor时的SSL异常: x509: certificate is valid for ingress.local
JosephThatwho的博客
01-17 5334
背景 之前搭建了一套内网环境的harbor,绑定了一个harbor.test.com的域名。现在因为工作需要,给这个harbor服务绑定了一个公网域名,并且申请了SSL证书,在调整完docker-compose中harbor.yml以及docker-compose.yml文件内的证书后,可以通过浏览器访问,并且显示SSL握手成功。 但是通过docker命令行登录时,却抛出如下异常: Error response from daemon: Get "https://harbor.oulaoula.com/v2
Error response from daemon: Get “https://registry-1.docker.io/v2/“: tls: failed to verify certificat
骜蛟的博客
06-11 2402
在网上找了很多,都没找到类似的错误。一般都是连接时间超时,要换源。后来我想了想,在主机上没有验证校园网登录,网络ping不通。
K8s证书过期后重新生成证书(1.15+版本)
为梦想奋斗
01-11 1815
最近在使用kubectl管理本地测试k8s集群时报错(k8s Unable to connect to the server: x509: certificate has expired or is not yet valid),首先想到的是服务部属已经挺久了应该是证书过期导致,一番网络大法后操作记录如下。 最前面当然是先备份 /etc/kubernetes 目录 cp -Ra /etc/kubernetes /tmp/kubernetes-backup 在操作之前可以使用以下命令查看证书时间,k
解决Unable to connect to the server: x509: certificate signed by unknown authority (possibly because
m0_55691056的博客
04-04 3886
运行kubeadm reset清除配置后,对集群初始化也是成功的。然而当运行 kubectl get nodes 时又报错..原因:执行kubeadm reset命令后没有删除创建的.kube目录,重新创建集群就会出现这个问题
gitlab-runner 注册问题
Sunny
03-25 1万+
系统:Ubuntu 18.04.1 LTS gitlab版本:11.9 使用gitlab服务器域名:https://gitlab.example.com 需要使用到url和token:gitlab服务器地址+/admin/runners 要在GNU / Linux下注册Runner: 运行以下命令: gitlab-runner register 输入您的GitLa...
体验K8Sx509认证及RBAC授权机制
docker、kubernetes学习笔记
05-17 1050
先让我们重温两个英文单词:authentication(认证)、authorization(授权)。 今天的实验目标: 1)基于X509证书方式来完成authentication(认证)。 2)基于RBAC方式来完成authorization(授权) 环境说明: 操作步骤: 第1步:生成Private key文件: 执行: 查看一下生成的Private key文件: 第2步: 使用私钥生成csr请求文件: 查看csr文件: 第3.
x509: certificate is valid for 10.96.0.1, 172.18.255.243, not 120.79.23.226
dianyeyu0359的博客
10-02 5396
服务器:阿里云服务器 master:120.79.23.226 node:39.108.131.246 系统:Centos 7.4 node节点加入集群中是报错: x509: certificate is valid for 10.96.0.1, 172.18.255.243, not 120.79.23.226 具体详细信息如下: 通过网上查找:https:/...
x509: certificate has expired or is not yet valid错误解决
热门推荐
卢舍那
08-02 4万+
x509: certificate has expired or is not yet valid错误解决
k8s unable to connect to the server: x509: certificate is valid for 10.96.0.
04-29
这个错误是k8s无法连接到服务器的错误,原因是证书只对特定的IP地址有效,而连接服务器时使用了其他的IP地址。这通常是由于服务器上的证书没有正确生成造成的。证书是用于验证服务器身份并确保安全通信的一种数字...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值