K8s You must be logged in to the server (Unauthorized)|certificate has expired or is not yet valid.

最新推荐文章于 2023-11-28 13:49:58 发布
置顶 最新推荐文章于 2023-11-28 13:49:58 发布
阅读量2.8k 收藏 1
点赞数 2
分类专栏: 开发问题|BUG 工作 文章标签: kubernetes ca证书 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42495873/article/details/106601040
版权

K8S证书过期相关问题解决


在使用Kubernetes 集群时有个大坑,一些证书的有效期是一年,官方考虑到安全性希望开发者在一年内,能及时更新Kubernetes的版本。更新之后有效期会再次刷新。

Kubernetes版本 1.14.2
Ubuntu版本 16.04

  1. 原因证书过期问题
certificate has expired or is not yet valid.

2.原因应该是 /etc/kubernetes/admin.conf 也就是 $HOME/.kube/config 过期的原因。在终端操作命令使用的认证证书,根据/etc/kubernetes/pki/ca.crt生成的。所以这个也需要更新.

kubectl get pods 
`You must be logged in to the server (Unauthorized)`

1、各个证书过期时间

/etc/kubernetes/pki/apiserver.crt                #1年有效期
/etc/kubernetes/pki/front-proxy-ca.crt           #10年有效期
/etc/kubernetes/pki/ca.crt                       #10年有效期
/etc/kubernetes/pki/apiserver-etcd-client.crt    #1年有效期
/etc/kubernetes/pki/front-proxy-client.crt       #1年有效期
/etc/kubernetes/pki/etcd/server.crt              #1年有效期
/etc/kubernetes/pki/etcd/ca.crt                  #10年有效期
/etc/kubernetes/pki/etcd/peer.crt                #1年有效期
/etc/kubernetes/pki/etcd/healthcheck-client.crt  #1年有效期
/etc/kubernetes/pki/apiserver-kubelet-client.crt #1年有效期

2、获取集群的配置文件

  1. 可以使用当时 kubeadm init --config=kubeadm-config.yaml 时的配置文件。
  2. 使用命令获取
  kubeadm config view > /tmp/kubeadm-config.yaml

3、备份

  1. 备份原有证书
cp -rp /etc/kubernetes /etc/kubernetes.bak
  1. 备份etcd数据目录
cp -r /var/lib/etcd /var/lib/etcd.bak
  1. 备份配置信息
  mkdir /etc/kubernetes/conf-backup
  mv /etc/kubernetes/admin.conf kubelet.conf scheduler.conf controller-manager.conf conf-backup/

4、更新证书

kubeadm alpha certs renew all --config=/tmp/kubeadm-config.yaml

5、更新配置文件

admin.conf 是给kubectl操作时用的,根据car.crt生成 所以需要更新

kubeadm init phase kubeconfig all --config /tmp/kubeadm-config.yaml

6、在三台Master上执行重启kube-apiserver,kube-controller,kube-scheduler,etcd这4个容器,使其生效

docker ps |grep -E 'k8s_kube-apiserver|k8s_kube-controller-manager|k8s_kube-scheduler|k8s_etcd_etcd' | awk -F ' ' '{print $1}' |xargs docker restart

# 重启kubelet
systemctl restart kubelet

7、更换kubectl 操作的配置信息

rm -rf $HOME/.kube
mkdir -p $HOME/.kube
sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config

8、查看各个证书过期时间

#查看pod
kubectl get pods
# 查看各证书过期时间
for item in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`;do openssl x509 -in $item -text -noout| grep Not;echo ======================$item===============;done
Maxwell_Dncey
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
k8s报错error: You must be logged in to the server (Unauthorized)
小啊宇的博客
12-24 7153
背景:故意修改Kubernetes集群所在服务器节点上的时间使Kubernetes证书过期,重新颁发证书后,使用kubeadm alpha certs check-expiration命令查看证书有效时间,相关证书都已重新颁发。 也可以使用openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ’ Not ’ 进行查看证书的有效期 但是在Kubernetes集群master节点上执行kubectl命令报如下错误: err.
k8s 证书过期【完美解决】:x509_ certificate has expired or is not yet valid
最新发布
甘蓝的专栏
04-08 402
【完美解决】k8s证书在安装1年后过期,导致k8s集群不可用的问题!
error: You must be logged in to the server (Unauthorized)报错解决
热门推荐
a1308422754的博客
07-06 3万+
公司内部k8s集群里的服务器登陆之后在master节点查看各个节点状态出现报错 error: You must be logged in to the server (Unauthorized) 错误:您必须登录到服务器(未经授权) 这个应该是权限问题 之前有了解到k8s集群是由kubedam部署的 但是我目前只了解二进制和yum安装的方式. 经过查阅资料找到了配置身份认证的文件vim /etc/kubernetes/admin.conf 发现如下内容 current-context: kubernet
error: You must be logged in to the server (Unauthorized)
运维玄德公
12-18 1260
error: You must be logged in to the server (Unauthorized)
k8s组件证书过期:Unable to connect to the server: x509: certificate has expired or is not yet valid
llg___的博客
11-28 1145
Unable to connect to the server: x509: certificate has expired or is not yet valid自己服务的pod重启后数量一直会为0。K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/pki 路径下,由 kubeadm 生成的客户端证书在 1 年后到期,因此需要定时更新证书,否则证书到期会导致整个集群不可用。今天遇到一个k8s证书过期问题,记录下解决方法。
查看k8s证书过期时间:各组件
学亮编程手记
02-22 4875
[root@k8s-n0 kuboard-install]# kubeadm alpha certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml' [check-expi
解决K8S提示:certificate has expired or is not yet valid: current time
坐公交也用券
12-25 4779
1、提示信息 [root@localhost zgj_toutiao]# kubeadm join 10.1.0.20:6443 --token 4v0w24.i1yo05c4fipsbzqm --discovery-token-ca-cert-hash sha256:455df700f62a3850fac6e1443e52a5843f5ba210f36c1c9f902ed563e3d92bf2 [preflight] Running pre-flight checks error executi
[k8s] tls: failed to verify client‘s certificate: x509: certificate has expired or is not yet valid
onlyellow的博客
09-30 6707
29号晚上同事发现部署的API接口服务崩了。同时k8s服务也崩了(我们自己写的API服务调用k8s)。当时就怀疑是k8s崩溃导致API调用失败,然后api报错退出(这里API容错机制也有问题,但不是这篇文章主题)。 第二天来调查k8s问题:执行k8s命令报错 [root@onlyellow2~]# kubectl get pod Unable to connect to the server: x509: certificate has expired or is not yet valid 第一感.
k8s踩坑(三)、kubeadm证书/etcd证书过期处理
ywq935的博客
03-08 2万+
故障现象 使用kubeadm部署的集群,在运行了一年之后今天,出现k8s api无法调取的现象,使用kubectl命令获取资源均返回如下报错: Unable to connect to the server: x509: certificate has expired or is not yet valid 故障排查 查看apiserver.crt证书的签署日期和过期日期: root@9027:...
Kubernetes 证书过期
weixin_43509834的博客
11-29 1143
问题描述: Unable to connect to the server: x509: certificate has expired or is not yet valid 状况如图所示: 解决方案: 不妨先查看一下,看看是否是证书过期导致的: kubeadm alpha certs check-expiration 如图所示,证书截至日期为11月19日,已过期10天,问题锁定,下面执行证书更新操作。 2) 更新最新证书: kubeadm alpha certs renew all 注
kubernetes通过kubectl无法查看日志问题处理过程
Welcome my blog
07-11 4541
## 问题现象 输入: ``` kubectl logs --tail 200 -f -n xxx pod-name-xxxx. ``` 返回结果: ``` error: You must be logged in to the server (the server has asked for the client to provide credentials (get nodes)) ``` ## 已知信息 1. kubernetes版本:1.17.2 2. 证书前不久已更新 ## 排查过程 看到这个报错
k8s集群证书过期,更新证书证书过期报错:Unable to connect to the server: x509: certificate has expired or is not yet v
ligaoman521的博客
01-06 2655
在master节点操作: #查看证书有效期 kubeadm alpha certs check-expiration 或者 openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not ' #证书备份 cp -rp /etc/kubernetes /etc/kubernetes.bak #重新生成证书,使用该命令不用提前删除过期证书 kubeadm alpha certs renew all #再次
访问k8s集群出现Unable to connect to the server: x509: certificate is valid for xxx, not xxx问题解决【详细步骤】
marlinlm的博客
12-27 9248
访问k8s集群出现Unable to connect to the server: x509: certificate is valid for xxx, not xxx问题解决
Unable to connect to the server: x509: certificate has expired or is not yet valid
kaili_0230的博客
02-21 2386
用更新后的admin.conf替换/root/.kube/config文件。手动更新所有证书,执行命令。
k8s创建应用报x509证书未到期
rockstics的博客
06-11 663
k8s 创建资源报错x509
关于kubernetes1.9证书过期(certificate has expired or is not yet valid
qq_25934401的博客
04-08 3679
胆战心惊的一天 今天突然收到告警,k8s的节点NotReady,我靠!吓了一身冷汗,遂远程登录上去查看,果然都是notready!这一吓真是不轻啊,要知道所有node节点挂掉,等于整个集群挂掉了,线上的服务都不能访问。当时要是采访我当时在想什么,我只能高冷的回答你:“啥都没想”,当时真是脑袋一片空白。 不过呢,辛好留了一手,使用k8s之前,也用虚拟机把k8s上的服务也部署了一遍,就是防止这种现象出...
k8s: x509: certificate has expired or is not yet valid
c++应用程序编程和调试专栏
08-23 1315
出现此问题: 一般的原因时, 设备时间错了,不一致,我是在使用kubeadm join 添加集群结点时,报该错误。通过在个节点上调用 date 查看时间是否一致,发现,确实是时间不一致。 此时,需要重新同步需要添加的结点的时间 ntpdate ntp.api.bz 如果出现: the NTP socket is in use, exiting 则,先停止 ntp 服务,然后,...
kubernetes/k8s概念】自定义metrics hpa使用
zhonglinzhang
01-10 6248
kubernetes v1.12.1   从 v1.8 开始,资源使用情况的度量(如容器的 CPU 和内存使用)可以通过 Metrics API 获取。注意 Metrics API 只可以查询当前的度量数据,并不保存历史数据 Metrics API URI 为 /apis/metrics.k8s.io/,在 k8s.io/metrics 维护 必须部署 metrics-server 才...
k3s error: You must be logged in to the server (Unauthorized)
12-26
根据提供的引用内容,出现"k3s error: You must be logged in to the server (Unauthorized)"错误是由于缺少身份认证导致的。解决这个问题的方法是配置正确的身份认证文件。 你可以按照以下步骤来解决这个问题: 1. 打开身份认证文件: ```shell vim /etc/kubernetes/admin.conf ``` 2. 确保文件中的`current-context`字段的值为正确的上下文名称,例如`kubernetes-admin@kubernetes`。 3. 确保文件中的`users`字段中的`name`值为正确的用户名,例如`kubernetes-admin`。 4. 确保文件中的其余部分为正确的证书内容。 保存并退出文件后,重新登录到服务器,然后再次查看各个节点的状态,应该不再出现"error: You must be logged in to the server (Unauthorized)"错误。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值