kube-controller未自动续期,导致kubelet-client-current.pem证书过期问题修复

最新推荐文章于 2024-08-27 16:28:04 发布
最新推荐文章于 2024-08-27 16:28:04 发布
阅读量306 收藏 5
点赞数 7
文章标签: kubelet 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42431069/article/details/141359601
版权

使用 kubeadm 更新所有证书

您可以使用以下命令来更新集群中的所有证书,包括 kubelet 证书:

sudo kubeadm certs renew all --v=5

或者,对于较旧版本的 kubeadm,可以使用:

sudo kubeadm alpha certs renew all --v=5

手动更新 kubelet 证书

如果您只需要更新 kubelet 证书,可以手动进行操作。以下是详细步骤:

1. 删除旧证书

首先,删除旧的 kubelet 证书(线上环境需要备份,移除流量):

sudo rm /var/lib/kubelet/pki/kubelet-client-current.pem
sudo rm /var/lib/kubelet/pki/kubelet-client-*.pem
2. 生成新的私钥和 CSR

生成新的私钥和证书签名请求 (CSR):

openssl genrsa -out /var/lib/kubelet/pki/kubelet-client.key 2048
openssl req -new -key /var/lib/kubelet/pki/kubelet-client.key -out /var/lib/kubelet/pki/kubelet-client.csr -subj "/CN=system:node:<node-name>/O=system:nodes"
3. 使用 Kubernetes CA 签署新的证书

使用 Kubernetes 的 CA 签署新的证书:

openssl x509 -req -in /var/lib/kubelet/pki/kubelet-client.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out /var/lib/kubelet/pki/kubelet-client-current.pem -days 36500
4. 重新启动 kubelet

重新启动 kubelet 服务以使其使用新的证书:

sudo systemctl restart kubelet

使用 Kubernetes API 服务器的证书签发功能

如果您有权限访问 Kubernetes API 服务器,可以通过 API 服务器的证书签发功能来生成新的 kubelet 证书。

1. 生成新的私钥和 CSR

生成新的私钥和证书签名请求 (CSR):

openssl genrsa -out /var/lib/kubelet/pki/kubelet-client.key 2048
openssl req -new -key /var/lib/kubelet/pki/kubelet-client.key -out /var/lib/kubelet/pki/kubelet-client.csr -subj "/CN=system:node:<node-name>/O=system:nodes"
2. 创建一个 Kubernetes CSR 对象

创建一个 Kubernetes CSR 对象,并提交:

apiVersion: certificates.k8s.io/v1
kind: CertificateSigningRequest
metadata:
  name: <node-name>-csr
spec:
  groups:
  - system:authenticated
  request: $(cat /var/lib/kubelet/pki/kubelet-client.csr | base64 | tr -d '\n')
  usages:
  - digital signature
  - key encipherment
  - client auth

保存为 <csr-file>.yaml,然后应用:

kubectl apply -f <csr-file>.yaml
kubectl certificate approve <node-name>-csr
3. 获取签发的证书并保存

获取签发的证书并保存:

kubectl get csr <node-name>-csr -o jsonpath='{.status.certificate}' | base64 --decode > /var/lib/kubelet/pki/kubelet-client-current.pem
4. 重新启动 kubelet

重新启动 kubelet 服务:

sudo systemctl restart kubelet
skrskrcode
关注
  • 7
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8s系列之:认识k8s各个服务模块etcd、kube-apiserver、kube-controller-manager、kube-scheduler、kubeletkube-proxy服务
zhengzaifeidelushang的博客
01-17 1523
K8s系列之:认识k8s各个服务模块etcd、kube-apiserver、kube-controller-manager、kube-scheduler、kubeletkube-proxy服务一、K8s服务二、etcd服务三、kube-apiserver服务四、kube-controller-manager服务五、kube-scheduler服务六、kubelet服务七、kube-proxy服务八、K8s的Master和Node关系 K8s中的Node、Pod、Replication Controller
k8s单节点二进制部署(flannel、etcd、docker、kube-apiserver、kube-controller-manager、kube-scheduler、kubelet及proxy)
qq_35456705的博客
04-15 2274
再开一个master1的终端,查看etcd进程已开启 二:K8S部署 Master1:192.168.2.3/24 kube-apiserver kube-controller-manager kube-scheduler etcd Node01:192.168.2.5/24 kubelet kube-proxy docker flannel etcd Node02:192.168.2.6/24 kubelet kube-proxy docker flannel etcd (一)、ETCD组件部署 m.
kubelet证书过期问题处理
niuwj666的博客
06-11 519
按照以上方式改好后,重启kubelet会生成新的证书(重启kubelet就会生成新的.crt .key证书),但是.crt .key证书无需理会,目前来看不知道有啥用,即使过期很长时间,也不影响使用。下面这个命令可以看到证书的有效期openssl x509 -in 证书路径/证书名称 -noout -text | grep Not。
Kubelet 证书自动续期
qq_24794401的博客
11-25 2677
一、问题现象和原因 Kubernetes 日志错误 当 Kubernetes 集群日志中出现 certificate has expired or is not yet valid 错误信息时,表明证书过期 证书过期原因 服务器时间不对,导致证书过期 确实证书过期证书过期,很多同学会很疑惑,我证书明明签署10年有效期或者更久,怎么刚1年就过期了,下面就来解惑。 Kubernetes 集群证...
K8S证书过期解决办法之替换证书
热门推荐
q_hsolucky的博客
06-20 1万+
k8s证书过期解决方案之替换证书
k8s- kubernetes证书过期替换之kubeadm命令 certs renew all方式
liuyij3430448的博客
04-27 6165
**k8s集群之间的访问会使用到证书,如果使用kubeadm搭建的集群,默认CA证书的有效期为10年,其他组件访问证书的有效期为1年。如果过期后没有更新证书可能会引起k8s集群的不可用**
kubernetes(1.23)证书过期如何续期
老段工作室
04-27 2663
通过kubeadm安装的kubernetes集群各个组件所使用证书的期限为1年,本实验练习的是到期之后如何续期
kube-controller-manager:kube-controller-manager组件配置
05-15
该库包含用于公开kube-controller-manager API的代码。 兼容性 尚无此存储库的兼容性保证。 它是Kubernetes的直接支持,因此分支机构将跟踪Kubernetes并与该仓库兼容。 随着我们更加清晰地分离各层,我们将审查兼容...
kube-controller-manager_v1.15.3.tar
09-20
k8s.gcr.io/kube-controller-manager:v1.15.3镜像tar包,使用 docker load --input kube-controller-manager_v1.15.3.tar进行导入
calico v3.20.3-kube-controller镜像包
12-15
calico v3.20.3-kube-controller镜像包,在安装镜像的时候一直无法下载下来,导致项目无法部署,上传本地镜像到linux服务器,解压包,导入对应的tar包镜像包,通过docker load 导入本地镜像包,镜像包名字通过docker...
(二进制安装)k8s1.9 证书过期及开启自动续期方案.md
可可飞扬的博客
03-19 1万+
kubelet证书过期处理方案 集群中某node状态为notReady,apiserver 报错Unable to authenticate the request due to an error: x509: certificate has expired or is not yet valid 1 查看证书有效期 openssl x509 -in /etc/ssl/k8s/kubelet.cr...
kubelet证书过期解决方法
weixin_30588827的博客
10-25 1200
昨天收到报警短信:集群中某node状态为notReady,由于是长期不用的,所以放到今天才有空处理,以下记录处理过程。 查看kubelet日志,发现不停的打印证书过期相关提示信息。 以下操作基于kubernetes集群版本:v1.6.6 kubelete 证书默认有效期一年 1.查看证书有效期,这里使用以前下载的cfssl-certinfo curl -s -L -o /usr...
k8s集群证书pki过期处理
miracle_seed的博客
04-22 1198
参考:使用 kubeadm 进行证书管理 | Kubernetes 高可用k8s集群更新证书后,需要将新证书拷贝到所有主节点 我是整个/etc/kubernets拷贝覆盖其他主节点。先做好备份。 同时重启下服务kubelet和下面4个kube-apiserver|kube-controller-manager|kube-scheduler|etcd都重启下。docker ps | grep -v pause | grep -E "etcd|scheduler|controller|apiserver"
kubernetes二进宫系列——Kubernetes TLS BootStrapping流程引导分析
一别两宽丶各生欢喜
03-04 910
目录 Kubernetes TLS bootstrapping流程引导分析 一、TLS bootstrapping 简介 二、TLS bootstrapping 相关术语 2.1、kubelet server 2.2、CSR请求类型 2.3、KubernetesTLS与RBAC认证 2.4、证书及配置文件作用 三、kubelet初始化流程 四、TLS bootstrapping引导程序初始化流程 Kubernetes TLS bootstrapping流程引导分析 该文章...
k8s二进制安装—kubelet证书过期
屈帅波的技术博客
12-25 2160
一.第一种解决方法 1.修改kube-controller-manager.service添加或者修改如下内容 –experimental-cluster-signing-duration=87600h \ 然后执行以下命令重启kube-controller-manager systemctl daemon-reload systemctl restart kube-controller-...
kubelet TLS
weixin_33754065的博客
10-03 549
一、TLS bootstrapping 简介 Kubernetes 在 1.4 版本(我记着是)推出了 TLS bootstrapping 功能;这个功能主要解决了以下问题: 当集群开启了 TLS 认证后,每个节点的 kubelet 组件都要使用由 apiserver 使用的 CA 签发的有效证书才能与 apiserver 通讯;此时如果节点多起来,为...
openshift node NotReady & kubelet http: TLS handshake error
最新发布
爱死亡机器人
08-27 265
登陆worker2.ocp4.bsgchina.com 检查 kubelet 日志。openshift 集群 node 节点 notready。执行证书批准多次,直到所有pending 全部消失。
CSI 插件如何注册到 kubelet
misakivv的博客
08-27 460
Kubelet 通过 Unix Domain Socket (reg.sock) 调用 GetInfo 方法以获取 csi plugin 类型、csi plugin 的 driver 名称、csi plugin 暴露的 grpc 服务 socket 地址以及 csi plugin 支持的版本。Kubelet 使用从 Node Driver Registrar 获取的 socket 地址 (csi-driver.sock) 连接到 CSI Node Server。
kubernetes的kube-apiserver,kube-controller-manage,schduler,kubelet等的相互关系及交互过程。
04-03
Kubernetes 架构中,kube-apiserver、kube-controller-manager、scheduler 和 kubelet 是四个核心组件,它们之间相互协作,从而实现 Kubernetes 的集群管理功能。 1. kube-apiserver:作为 Kubernetes 集群的接口,处理所有 REST API 请求。kube-apiserver 接收到用户提交的配置信息,然后将其存储到 etcd 中。 2. kube-controller-manager:控制器管理器是 Kubernetes 集群的核心组件,它包含了多个控制器,用于管理集群中的各种资源,如 Pod、Service、ReplicationController 等。每个控制器负责监控一个或多个资源,并确保它们处于预期状态。 3. scheduler:调度器根据资源的需求和可用性,将 Pod 分配到合适的节点上。当 kube-apiserver 接收到一个新的 Pod 创建请求时,它会将该请求发送到调度器进行处理。 4. kubeletkubelet 运行在每个节点上,负责管理该节点上的所有容器。kubelet 监控 etcd 中的 Pod 配置信息,并负责在节点上创建、启动和停止容器。 这四个组件之间的交互过程如下: 1. 用户提交配置信息到 kube-apiserver。 2. kube-apiserver 将配置信息存储到 etcd 中。 3. kube-controller-manager 监控 etcd 中的资源状态,并根据需要更新该状态。 4. scheduler 监听 kube-apiserver 上的新 Pod 创建请求,并为其分配一个节点。 5. kubelet 监听 etcd 中的 Pod 配置信息,并负责在节点上创建、启动和停止容器。 这样,Kubernetes 就可以实现高可用、弹性伸缩、自动装箱等特性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值