kubernetes 二进制部署证书续签

已于 2022-10-09 18:19:35 修改
阅读量302 收藏 1
点赞数
分类专栏: k8s 文章标签: kubernetes java 容器
于 2022-10-09 16:03:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43490243/article/details/127228367
版权

目录

二进制部署方式

二进制部署方式

1.启用证书轮转

# vi /opt/kubernetes/cfg/kubelet-config.yml
...
rotateCertificates: true

# systemctl restart kubelet

2. 配置kubelet证书申请自动签发

#自动批准首次申请证书的 CSR 请求
kubectl create clusterrolebinding node-client-auto-approve-csr --clusterrole=system:certificates.k8s.io:certificatesigningrequests:nodeclient --user=kubelet-bootstrap
# 自动批准kubelet客户端证书续签
kubectl create clusterrolebinding node-client-auto-renew-crt --clusterrole=system:certificates.k8s.io:certificatesigningrequests:selfnodeclient --group=system:nodes
# 自动批准kubelet服务端证书续签
kubectl create clusterrolebinding node-server-auto-renew-crt --clusterrole=system:certificates.k8s.io:certificatesigningrequests:selfnodeserver --group=system:nodes

weixin_43490243
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
kubeadm部署k8s 证书升级和 kubelet证书自动续期
weixin_38582858的博客
08-27 557
vi /etc/kubernetes/manifests/kube-controller-manager.yaml //文件中添加一下两行。配置完成后,重启kube-controller-manager pod使之生效。默认kubelet证书轮询已启用。
kubespray续签k8s证书
OfficerGoodbody的博客
08-08 354
kubespray续签k8s证书
kubelet证书过期问题处理
最新发布
niuwj666的博客
06-11 436
按照以上方式改好后,重启kubelet会生成新的证书(重启kubelet就会生成新的.crt .key证书),但是.crt .key证书无需理会,目前来看不知道有啥用,即使过期很长时间,也不影响使用。下面这个命令可以看到证书的有效期openssl x509 -in 证书路径/证书名称 -noout -text | grep Not。
kubesphere证书过期解决方案
xuebiao1215
03-15 984
执行:kubectl get node 报错:Unable to connect to the server: x509: certificate has expired or is not yet valid 后来在官网搜索资料,找到一篇文章:https://kubesphere.com.cn/forum/d/6102-kk 从这篇文章看到一个大佬出了解决方案:https://jwangkun.github.io/OYyruQGSe/ 还有这篇:https://jwangkun.github.io/S
Kubernetes Kubeadm Kubelet 证书自动续签
小楼一夜听春雨,深巷明朝卖杏花
02-25 4429
Kubelet 证书自动续签 K8s证书一般分为两套:K8s组件(apiserver)和Etcd 假如按角色来分,证书分为管理节点和工作节点。 • 管理节点:如果是kubeadm部署则自动生成,如果是二进制部署一般由cfssl或者openssl生成。 • 工作节点:工作节点主要是指kubelet连接apiserver所需的客户端证书,这个证书由controller-manager组件自动颁发,默认是一年,如果到期,kubelet将无法使用过期的证书连接apiserver,从而导致无法正常工作,日志会
kubernetes二进制部署.docx
11-29
kubernetes二进制部署
使用 ansible 部署 kubernetes 二进制文件
03-04
本篇文章将详细探讨如何使用 Ansible 部署 Kubernetes 二进制文件,这对于 DevOps 团队在云原生环境中的工作尤其重要。 首先,我们需要了解 Ansible 的基本概念。Ansible 是基于 YAML 语言的,通过 Playbooks 定义...
kubernetes二进制集群部署——–多master集群(步骤非常详细,适合初学者)
01-09
本文将详细介绍如何通过二进制方式部署一个多Master节点的Kubernetes集群,适合初学者逐步学习。 首先,我们要了解多Master节点集群的必要性。在单Master节点的集群中,如果Master节点出现问题,整个集群的控制平面...
二进制部署 + kubernetes + 1.25.5
01-11
在IT行业中,二进制部署(Binary Deployment)和Kubernetes是两个重要的概念,尤其是在云原生应用管理和自动化运维领域。二进制部署是指直接将编译好的可执行二进制文件部署到目标环境中,而Kubernetes(简称k8s)则...
kube-ansible:Ansible部署Kubernetes二进制文件
03-30
该项目将用于ansible部署kubernetes。 请参阅README.md和group_vars/template.yml文件以进行项目配置 云端支援 蔚蓝 Aws(Apiserver HA使用CLB) GCP(Apiserver HA使用TCP负载平衡) 操作系统支持 所有Node安装...
(二进制安装)k8s1.9 证书过期及开启自动续期方案.md
热门推荐
可可飞扬的博客
03-19 1万+
kubelet证书过期处理方案 集群中某node状态为notReady,apiserver 报错Unable to authenticate the request due to an error: x509: certificate has expired or is not yet valid 1 查看证书有效期 openssl x509 -in /etc/ssl/k8s/kubelet.cr...
kubernetes证书时间修改
liuchao666888的博客
09-29 1439
此文档针对k8s版本1.14.1 kubeadm 默认证书为一年,一年过期后,会导致api service不可用,使用过程中会出现:x509: certificate has expired or is not yet valid. 方案一 通过修改kubeadm 调整证书过期时间 1、创建工作目录 [root@master ~]# mkdir /data 2、下载go环境(搜索go 中文网既可下载) [root@master ~]# cd /data [root@master data]# wge
kubectl查看node状态_K8S常用命令
weixin_35282313的博客
12-23 7532
1、master查看待审批node信息:[k8s@database_1 dns]$ kubectl get csrNAME AGE REQUESTOR CONDITIONnode-csr-QOrUGcKDtAip5-k0MU3KFoY4hD0It3wXRh2uGURB...
Kubernetes 用户认证-证书签名请求
qq_37377136的博客
08-15 833
官方证书签名请求 一、创建私钥 普通用户 为了让普通用户能够通过认证并调用 API,需要执行几个步骤。 首先,该用户必须拥有 Kubernetes 集群签发的证书, 然后将该证书作为 API 调用的 Certificate 头或通过 kubectl 提供。 创建私钥 下面的脚本展示了如何生成 PKI 私钥和 CSR。 设置 CSR 的 CN 和 O 属性很重要。CN 是用户名,O 是该用户归属的组。 你可以参考 RBAC 了解标准组的信息。 openssl genrsa -out myuser.key 20
Kubernetes(K8s)_10_认证机制
爱喝可乐的w
02-22 1444
Kubernetes(K8s)保证安全的认证机制/插件
Kubernetes kubeadm 管理证书续签证书
小楼一夜听春雨,深巷明朝卖杏花
06-08 900
各个证书的过期时间 可用于检查证书过期时间: 手动续订apiserver的证书-apiserver.crt 当前 apiserver.crt 到期时间是 May 22, 2021 15:26 UTC 剩余327天执行renew更新: 重启kubelet会自动重新创建核心组件 验证: apiserver证书到期时间发生了变化, 不过不是顺延一年, 而是 从你 执行renew成功的时间开始续签一年。如果要将所有证书续签一年,则执行:查看全部估清了以上结束了.使用外部CA续订证书 1.生成
二进制部署的K8s集群,如何对到期证书更新
时光旅行者
09-12 3334
一年前搭建的k8s集群,突然不能够正常访问,出现502错误,首先怀疑容器没起来,先对问题进行排查,排查响应的容器有没有正常启动,状态一切正常,访问容器地址也可以正常访问,于是访问node port地址,发现无法正常访问,确定问题出现在svc中。 由于其他的应用、系统也无法提供正常的服务,应该是k8s的问题,非单个应用的原因。查看服务状态,kubectl describe svc xxx,endp...
云原生|kubernetes|kubernetes集群升级+证书更新(Ubuntu-18.04+kubeadm)
zsk_john的技术分享专用博客
12-13 5545
一般情况下,不管是kubernetes集群还是什么其它的集群,还是什么tomcat,什么elasticsearch,ssh等等各类软件,当然也包括各个操作系统,比如centos7.Ubuntu,debian等等所有软件类,规避各种各样的安全漏洞基本都是通过升级版本的方式来完成的。 多说一句,在软件制作者的角度来说,升级软件版本的动力一个是安全漏洞的压力,一个是更多的,更 新的功能以及更美观的软件界面。在软件使用者的角度来说,升级软件版本的动力第一个是安全漏洞,其次才是更 新的功能,最后才是美观的软件界
Kubernetes二进制手动搭建文档(单master).docx
03-19
在搭建和部署Kubernetes集群时,可以选择使用二进制方式进行搭建,这种方式能够提供更加灵活和定制化的部署方案。本文将详细介绍在单master节点上搭建Kubernetes集群的过程,同时采用calico模式和ipvs模式来实现网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值