【 Kubernetes 风云录 】- Cert证书更新

已于 2024-09-14 13:27:44 修改
阅读量561 收藏 13
点赞数 20
文章标签: kubernetes 容器 云原生
于 2024-09-14 13:25:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45133467/article/details/142255968
版权

Cert证书更新

文章目录

⚡️: 在安装K8S 节点的时候,使用的是手动签发 1年后Kubernetes 集群日志中出现 certificate has expired or is not yet valid 错误信息时,表明证书过期。

如果你没有现有的 CA 证书(如 ca.pemca-key.pem),你需要先创建一个新的 CA(Certificate Authority)来签署 Kubernetes 组件的证书。以下是如何在没有 CA 证书的情况下生成新的 CA 证书并更新集群中其他组件证书的步骤。

生成新的 CA 证书和私钥

首先,生成新的 CA 证书和私钥。这将为你创建用于签署其他 Kubernetes 组件证书的根 CA。

生成 CA 配置文件(可选)

你可以创建一个 CA 的配置 JSON 文件来定义 CA 证书的内容,比如 ca-csr.json

{
  "CN": "Kubernetes-CA",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
        "C": "CN",
        "ST": "SuZhou",
        "L": "SuZhou",
        "O": "k8s",
        "OU": "System"
    }
  ]
}

使用 cfssl 生成 CA 证书

使用 cfssl 工具生成新的 CA 证书和私钥:

[root@ycloud proxy-client]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca

此命令将生成两个文件:

  • ca.pem: CA 根证书。
  • ca-key.pem: CA 私钥。

这些文件将用于签署 Kubernetes 组件的证书。

生成 Kubernetes 组件证书和私钥

现在你可以使用新生成的 CA 来为 Kubernetes 组件(如 API server、controller manager、scheduler 等)创建证书。

准备 JSON 配置文件

为每个组件创建一个 JSON 文件来定义证书请求参数。例如,kube-apiserver-csr.json

{
  "CN": "kube-apiserver",
  "hosts": [
    "127.0.0.1",
    "kubernetes.default.svc",
    "10.96.0.1"
  ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "US",
      "L": "San Francisco",
      "O": "Kubernetes",
      "OU": "Kubernetes The Hard Way"
    }
  ]
}

生成私钥和 CSR(证书签名请求)

使用 cfssl 生成私钥和 CSR 文件:

[root@ycloud proxy-client]#  cfssl genkey kube-apiserver-csr.json | cfssljson -bare kube-apiserver

此命令将生成:

  • kube-apiserver-key.pem: 私钥。
  • kube-apiserver.csr: 证书签名请求文件。

使用 CA 签署组件证书**

使用新生成的 CA 证书和私钥来签署 Kubernetes 组件证书,例如签署 kube-apiserver 证书:

[root@ycloud proxy-client]# cfssl sign -ca ca.pem -ca-key ca-key.pem -config ca-config.json -profile kubernetes kube-apiserver.csr | cfssljson -bare kube-apiserver

生成的 kube-apiserver.pem 是新的 API server 证书。

ca-config.json 是 CA(Certificate Authority)配置文件,它定义了 CA 签发证书时的一些全局配置和策略,比如有效期、不同证书类型的 profile 等。通常在使用 cfssl 工具时,这个文件用来指定 CA 签发证书的行为。

如果你还没有 ca-config.json 文件,你可以创建一个。例如,这里是一个典型的 ca-config.json 文件的示例:

ca-config.json 示例

{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "expiry": "87600h",
        "usages": ["signing", "key encipherment", "server auth", "client auth"]
      }
    }
  }
}

文件说明

  • signing: 定义 CA 可以用来签发证书。

  • default: 设置默认的证书有效期,这里 87600h 表示十年。

  • profiles
    定义不同的证书类型。这里我们定义了 kubernetes 这个 profile。

    • expiry: 设置该 profile 下生成的证书有效期,87600h 同样表示十年。

    • usages
      定义证书的使用场景,常见的有:
      • signing: 表示证书可以用来签署其他证书。
      • key encipherment: 表示证书用于密钥加密。
      • server auth: 表示证书用于服务器认证(如 Kubernetes API Server)。
      • client auth: 表示证书用于客户端认证(如 kubelet、kubectl)。

使用 ca-config.json 签发证书

有了 ca-config.json 文件后,你可以在签发证书时指定它。例如:

[root@ycloud proxy-client]# cfssl sign -ca ca.pem -ca-key ca-key.pem -config ca-config.json -profile kubernetes kube-apiserver.csr | cfssljson -bare kube-apiserver
  • -ca: 指定 CA 证书。
  • -ca-key: 指定 CA 私钥。
  • -config: 指定 ca-config.json 文件,用于签发证书时的配置。
  • -profile: 使用 kubernetes profile 来签发证书,这个 profile 是我们在 ca-config.json 中定义的。

这样,你的 CA 就会根据配置文件中指定的有效期和用途来签发符合 Kubernetes 需求的证书。

替换现有证书

将新生成的证书和私钥替换过期的证书。例如:

[root@ycloud proxy-client]# mv /etc/kubernetes/pki/kube-apiserver.pem /etc/kubernetes/pki/kube-apiserver.pem.bak
[root@ycloud proxy-client]# cp kube-apiserver.pem /etc/kubernetes/pki/kube-apiserver.pem

[root@ycloud proxy-client]# mv /etc/kubernetes/pki/kube-apiserver-key.pem /etc/kubernetes/pki/kube-apiserver-key.pem.bak
[root@ycloud proxy-client]# cp kube-apiserver-key.pem /etc/kubernetes/pki/kube-apiserver-key.pem

重启 Kubernetes 组件

替换证书后,重启相关的 Kubernetes 组件:

[root@ycloud proxy-client]# sudo systemctl restart kube-apiserver
[root@ycloud proxy-client]# sudo systemctl restart kube-controller-manager
[root@ycloud proxy-client]# sudo systemctl restart kube-scheduler
[root@ycloud proxy-client]# sudo systemctl restart kubelet

验证证书更新

验证 Kubernetes 集群是否正常工作:

[root@ycloud proxy-client]# kubectl get nodes

验证证书过期时间:

[root@ycloud proxy-client]# openssl x509 -in /etc/kubernetes/proxy-client/kube-apiserver.pem -noout -dates
notBefore=Sep 14 05:12:00 2024 GMT
notAfter=Sep 12 05:12:00 2034 GMT

总结

在没有 CA 证书的情况下,你需要先创建一个新的 CA 证书,并使用它签署 Kubernetes 组件的证书。通过 cfssl 工具,你可以生成新的 CA 和组件证书,然后替换集群中过期的证书并重启服务。这可以恢复集群的正常功能。

努力做一名技术
关注
Kubernetes之scert-manager证书控制器(证书自动颁发)
weixin_43357497的博客
12-14 1236
cert-manager证书控制器 cert-manager作为一系列部署资源在Kubernetes集群中运行。它 CustomResourceDefinitions 用于配置证书颁发机构和请求证书。 它使用常规的YAML清单进行部署,就像Kubernetes上的任何其他应用程序一样。 部署证书管理器后,您必须配置Issuer或ClusterIssuer 代表证书颁发机构的资源。有关配置不同Issuer类型的更多信息,请参见各自的配置指南。 注意:从cert-managerv0.14.0开始,Kubern
Kubernetes监控:Dashbaord 2.0.0部署之证书创建和设定
知行合一 止于至善
02-02 2444
在前面一篇文章中介绍了Dashboard 2.0.0-rc3的使用,但是证书的创建和设定使用缺省方式,在这篇文章中将进一步进行说明如何从外部创建和指定证书
kubernetes运维之-cert-manager自动签发Lets Encrypt证书并通过Ingress实现https网站全自动管理
h5rehre的博客
04-12 1459
云原生时代web业务数量多,维护证书繁琐程度高,大多是重复劳动,如何解决复杂的证书管理疑难杂症?
更新 Kubernetes 证书工具 - update-kube-cert 使用指南
gitblog_00964的博客
09-12 367
更新 Kubernetes 证书工具 - update-kube-cert 使用指南 update-kube-cert 项目地址: https://gitcode.com/gh_mirrors/upd/update-kube-c...
快速写一个kubernetes webhook+使用cert-manager实现自动更新证书
杆子的博客
06-26 1191
准入程序可以在部署在集群内部,也可以在多集群环境下使用一个准入程序对多个集群进行回调处理,好处就是只需要部署一次,而不用每个集群都部署,但是需要使用kube-client时,需要接入多个集群的kubeconfig,在集群内部部署则只需要配置rbac了;主要作用就是对操作做修改性质的准入,串行操作,不具备明确的顺序,需要注意操作对象的范围,防止出现预期之外的修改操作。内置准入器,默认开启的noderestriction准入器,主要是限制对节点一些标签的修改操作。动态准入器,HTTP回调机制,类似于拦截器。
[kubernetes]-cert-manager管理证书生命周期
爷来辣的博客
04-28 1243
导语:大致记录一下学习视频中helm安装Cert-Manager的过程 Cert-Manager管理tls证书 作用:管理证书,可以生成自签名证书,可以去证书颁发机构生成证书,在证书快要过期的时候续签 安装Cert-Manager kubectl create ns cert-manager # 忽略有效性的检查 kubectl label certmanager.k8s.io/disable-validation=true -n cert-manager # 安装crd https://github
kubernetescert-manager使用http-01方式生成https证书
null
04-09 2502
说明 文章里用不用集群签发,但是同理 提前创建需要https的namespace 采用http-01方式生成https证书,所以域名可以填写子域名,但是不能填写泛域名 提前把要解析的域名映射解析到集群所在服务器上 如果有安全组需要开放80端口,CA机构只能通过80端口验证token(域名是否属于你) 可以用项目网关,不用集群网关这样有一个项目专门生成证书,然后复制到其他项目使用(本文用集群网关测试) 运行过程中自动产生的ingress和pod,会在证书生成后自动关闭消失。 安装cert-manager
Kubernetes-templates:Kubernetes YAML模板-最佳实践,技巧和窍门已直接导入到生产部署模板中-加上CICD Jenkins和TeamCity,带有ACME的证书管理器让我们加密免费入口自动SSL证书,补丁,Kustomize等
03-09
Kubernetes模板 Kubernetes YAML模板。 包含在生产环境中学习到的各种最佳实践,技巧和窍门。 从 / 开始,高级用户请参阅 。 包含用于使用静态公共IP并锁定GKE生成的GCP防火墙规则,Cloudflare代理IP等的配置。 ...
kubernetes-server-linux-amd64.tar (1).gz
07-27
kubeadm join <控制平面节点IP>:<端口> --token <token> --discovery-token-ca-cert-hash ``` 十、验证安装 安装完成后,通过运行以下命令检查Kubernetes集群状态: ```bash kubectl get pods --all-namespaces ...
ssl-cert-check:SSL证书即将到期时发送通知
05-04
ssl-cert-check是一个Bourne shell脚本,可用于报告SSL证书过期。 该脚本旨在从cron运行,并且可以通过nagios发送电子邮件警告或记录警报。 用法: $ ./ssl-cert-check Usage: ./ssl-cert-check [ -e email ...
9.11-kubeadm方式安装k8s
qq_70752758的博客
09-11 562
配置pod的yaml文件和docker-compose.uaml文件相似。
k8s防火墙networkPolicy,其他规则和端口规则ports的匹配顺序,进站策略ingress和出站策略egress中,ports规则的常用方法。
2401_84019227的博客
09-11 500
有了这个先后顺序,相对就容易理解其他规则和ports规则的匹配关系。看ip报文里面封装的TCP/UDP报文中的端口号。因为端口信息是在打开ip包之后才能看到的。如果不接收,就不会有检测端口号的操作,端口策略和其他策略的顺序关系是什么。ports这个策略,和前面三个不同。ingress.from进站策略中。如果要求,只能访问什么端口,就是与。而是说,能访问所有主机的什么端口。egress.to出站策略中。如果没有强调只能访问什么端口。B接收到数据包是先看ip。各个规则和端口号的关系。各个规则和端口号的关系。
【从问题中去学习k8s】k8s中的常见面试题(夯实理论基础)(二十九)
zerotoall的博客
09-11 366
思考一下问题: 97、您认为公司如何处理服务器及其安装? 考虑一家拼车公司希望通过同时扩展其平台来增加服务器数量。 您认为公司如何处理服务器及其安装? 参考答案:
K8s 简介以及详细部署步骤
最新发布
TYM121380的博客
09-14 1213
1、在Docker 作为高级容器引擎快速发展的同时,在Google内部,容器技术已经应用了很多年2、Borg系统运行管理着成千上万的容器应用。3、Kubernetes项目来源于Borg,可以说是集结了Borg设计思想的精华,并且吸收了Borg系统中的经验和教训。3、Kubernetes对计算资源进行了更高层次的抽象,通过将容器进行细致的组合,将最终的应用服务交给用户。kubernetes的本质是一组服务器集群,它可以在集群的每个节点上运行特定的程序,来对节点中的容器进行管理。
k8s防火墙networkPolicy,的核心是“自己”
2401_84019227的博客
09-11 860
xxx.xxx.xx.x/32 # 允许某个网段,但除了这个ip。2. 从哪个名称空间进来的,就设置namespaceSelector,k8s的防火墙,考虑如何配置,就是从“自己”出发,去看待流量的流向。4. 从哪些标签的pod来的,就设置podSelector。是允许哪些流量来访问我,就是ingress from,1. 从哪个端口进来的,就设置ports,3. 从哪些ip来的,就设置ipBlock。那么,没有说明的,就是不让ingress。写了规则的,是允许进入和出去的流量。
【从问题中去学习k8s】k8s中的常见面试题(夯实理论基础)(二十八)
zerotoall的博客
09-10 419
思考一下问题: 96、考虑一家拥有非常分散的系统的跨国公司,期待解决 整体代码库问题。您认为公司如何解决他们的问题? 考虑一家拥有非常分散的系统的跨国公司,期待解决整体代码库问题。 您认为公司如何解决他们的问题? 参考答案:
93、k8s之hpa+helm
m0_74149099的博客
09-12 900
pod的数量进行扩缩容针对对控制器创建的podreplicas:静态:editHPA:基于cpu的利用率来实现pod的数量大的自动伸缩。yaml 文件------主流------>必须要有资源控制的字段才能生效。命令行 生成HPA的配置。yaml必要条件:前置必要条件:控制器创建,而且必须能设置副本数配置的必要条件:必须要声明pod的资源控制1、metrices-server hpa使用的依赖环境。k8s使用集群资源的集中查询器。收集资源使用数据,给hpa,scheduller使用。
kubeadm方式安装k8s+基础命令的使用
weixin_68368034的博客
09-14 736
找到端⼝号后,通过 master 的 IP+端⼝即可访问 dashboard(端⼝为终端查询到的端⼝,要⽤ https 协议访问)# 命令执⾏后相当于进⼊vim⽂本编辑器,不要⽤⿏标滚轮,会输出乱码的!# svc:指定某个服务项,这⾥指定的是kubernetes-dashboard。# 获取kubernetes-dashboard状态信息,包含端⼝,服务IP等。# -n:指定命名空间,kubernetes-dashboard。1)在“输⼊ token ”内输⼊终端⽣成的 token。2)就可以进行登录了。
92、K8s之ingress下集
m0_74149099的博客
09-11 1383
ingress----根据servicename选择service-----service把服务把请求根据匹配的标签转发pod。支持http 80 https 443。
nebula-cert生成ca证书以及绑定
09-14
Nebula 是一个开源的高性能网络库,支持点对点加密通信。在使用 Nebula 时,生成 CA (Certificate Authority) 证书及其绑定是配置安全通信的关键步骤。以下是生成 CA 证书和绑定的一个基本流程: 1. 安装 Nebula:首先需要在系统上安装 Nebula。 2. 生成 CA 证书:使用 Nebula 提供的工具来生成 CA 证书和私钥。通常这可以通过命令行工具完成,需要提供一些基本参数,比如组织名称等。 示例命令: ```shell nebula-cert ca --country US --province CA --city SanFrancisco --org "Example Org" --server ``` 3. 生成节点证书:在生成 CA 证书之后,可以使用相同的工具为每个 Nebula 节点生成证书。每个节点的证书都由 CA 签名,确保了节点的身份验证。 示例命令: ```shell nebula-cert sign --country US --province CA --city SanFrancisco --org "Example Org" --ip "192.168.1.1" --server ``` 4. 绑定证书:生成的节点证书需要在对应的 Nebula 节点上进行配置。通常需要在 Nebula 的配置文件中指定证书和密钥的路径。 配置文件示例: ```yaml host: "192.168.1.1" cert: "/etc/nebula/certs/node.crt" key: "/etc/nebula/certs/node.key" ca: "/etc/nebula/certs/ca.crt" ``` 5. 启动 Nebula:配置完成后,可以启动 Nebula 服务,节点之间将使用所配置的证书进行身份验证和加密通信。 请注意,以上步骤仅供参考,具体命令和参数可能会随着 Nebula 版本的更新而有所变化。务必参考最新官方文档以获取准确的安装和配置指南。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

努力做一名技术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值