kubernetes集群更换证书(设置100年证书)

最新推荐文章于 2024-04-18 14:41:41 发布
最新推荐文章于 2024-04-18 14:41:41 发布
阅读量458 收藏 6
点赞数 6
分类专栏: docker与kubernetes 文章标签: kubernetes 容器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50902636/article/details/137752635
版权

文章目录

前言

操作系统: centos7.9 x86_64
kubernetes: 1.18.13
安装方式: kubeadm

一、证书过期集群现象

1、使用k8s集群时报错如下

[root@k8s-master]# kubectl get nodes
	The connection to the server <master>:6443 was refused - did you specify the right host or port?

2、kubelet日志报错

#查看kubelet状态,打印出如下报错
	[root@k8smaster01 ~]# systemctl status kubelet
	part of the existing bootstrap client certificate in /etc/kubernetes/kubelet.conf is expired: 2023-12-16 12:17:35 +0000 UTC

二、golang编译源码kubeadm,证书时间100年

1.检查证书时间

[root@k8smaster01 ~]# kubeadm alpha certs check-expiration
[check-expiration] Reading configuration from the cluster...
[check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml'

CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
admin.conf                 Dec 16, 2023 12:17 UTC   <invalid>                               no      
apiserver                  Dec 16, 2032 12:17 UTC   <invalid>       ca                      no      
apiserver-kubelet-client   Dec 16, 2032 12:17 UTC   <invalid>       ca                      no      
controller-manager.conf    Dec 16, 2032 12:17 UTC   <invalid>                               no      
front-proxy-client         Dec 16, 2032 12:17 UTC   <invalid>       front-proxy-ca          no      
scheduler.conf             Dec 16, 2032 12:17 UTC   <invalid>                               no

2.下载对应的kubernetes版本源码至服务器

[root@k8smaster01 ~]# wget https://github.com/kubernetes/kubernetes/zip/refs/tags/v1.18.13

3、服务器安装golang

[root@k8smaster01 ~]# wget  https://studygolang.com/dl/golang/go1.19.2.linux-amd64.tar.gz
[root@k8smaster01 ~]# tar zxf go1.19.2.linux-amd64.tar.gz -C /usr/local/
 
[root@k8smaster01 ~]# vim /etc/profile
export GOROOT=/usr/local/go
export PATH=$PATH:/usr/local/go/bin
export GOPATH=/go
 
[root@k8smaster01 ~]# source /etc/profile

#执行测试
[root@k8smaster01 ~]# go version 会返回对应的go版本信息代表安装成功

4、编译kubeadm文件

1、解压下载好的k8s源码包
	[root@k8smaster01 ~]# unzip kubernetes-1.18.13\(1\).zip 

2、进入到解压后的k8s目录下,修改cmd/kubeadm/app/constants/constants.go文件
	[root@k8smaster01 ~]# cd kubernetes-1.18.13/
	[root@k8smaster01 ~]# vim cmd/kubeadm/app/constants/constants.go              
	#搜索CertificateValidity
	#修改证书时间 :CertificateValidity = time.Hour * 24 * 365 * 100
const (
        // KubernetesDir is the directory Kubernetes owns for storing various configuration files
        KubernetesDir = "/etc/kubernetes"
        // ManifestsSubDirName defines directory name to store manifests
        ManifestsSubDirName = "manifests"
        // TempDirForKubeadm defines temporary directory for kubeadm
        // should be joined with KubernetesDir.
        TempDirForKubeadm = "tmp"
 
        // CertificateValidity defines the validity for all the signed certificates generated by kubeadm
        CertificateValidity = time.Hour * 24 * 365 * 100  #修改此处
 
        // CACertAndKeyBaseName defines certificate authority base name
        CACertAndKeyBaseName = "ca"
        // CACertName defines certificate name
        CACertName = "ca.crt"
      )

3、接着修改staging/src/k8s.io/client-go/util/cert/cert.go文件
	[root@k8smaster01 ~]# vim staging/src/k8s.io/client-go/util/cert/cert.go
	#搜索KeyUsageDigitalSignatur
	#修改 :NotAfter:              now.Add(duration365d * 100).UTC(),
	func NewSelfSignedCACert(cfg Config, key crypto.Signer) (*x509.Certificate, error) {
        now := time.Now()
        tmpl := x509.Certificate{
                SerialNumber: new(big.Int).SetInt64(0),
                Subject: pkix.Name{
                        CommonName:   cfg.CommonName,
                        Organization: cfg.Organization,
                },
                DNSNames:              []string{cfg.CommonName},
                NotBefore:             now.UTC(),
                NotAfter:              now.Add(duration365d * 100).UTC(), #修改此处
                KeyUsage:              x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature | x509.KeyUsageCertSign,
                BasicConstraintsValid: true,
                IsCA:                  true,
        }

上述3步骤完成后,接着使用golang进行kubeadm源码编译

	[root@k8smaster01 ~]# go env -w GOPROXY=https://goproxy.cn,direct #go设置国内代理
	[root@k8smaster01 ~]# go env -w GOSUMDB="sum.golang.google.cn"  #go设置国内代理
	
	[root@k8smaster01 ~]# cd kubernetes-1.18.13/        # 进入kubeadm源码目录
	[root@k8smaster01 ~]# make all WHAT=cmd/kubeadm GOFLAGS=-v #执行编译操作
	
	#执行完成后,会在_output/bin/目录下生成编译好的kubeadm文件,至此准备工作就绪,开始更新证书

三、更新证书

1、替换/usr/bin/kubeadm 文件

[root@k8smaster01 ~]# ll /usr/bin/kubeadm  #确认原kubeadm文件的权限及属主属组
[root@k8smaster01 ~]# mv /usr/bin/kubeadm /opt/kubeadm_bak #备份原kubeadm
[root@k8smaster01 ~]# cp -p kubernetes-1.18.13/_output/bin/kubeadm /usr/bin/kubeadm  #拷贝编译好的kubeadm至此处
[root@k8smaster01 ~]# ll /usr/bin/kubeadm  #确认新的kubeadm文件的权限及属主属组是否与旧文件一致

2、执行更新证书命令

[root@k8smaster01 ~]# kubeadm alpha  certs renew all

3、更新当前master节点配置文件

[root@k8smaster01 ~]# cp /etc/kubernetes/admin.conf /root/.kube/config

4、备份apiserver、controller manager、schedule配置文件

[root@k8smaster01 ~]# cp -r /etc/kubernetes/manifests/ /etc/kubernetes/manifests-bak

5、重启apiserver、controller manager、schedule

查看apiserver、controller manager、schedule pod,等待当前节点相关pod删除后,还原配置文件
[root@k8smaster01 ~]# mv /etc/kubernetes/manifests/kube-*.yaml /etc/kubernetes/
[root@k8smaster01 ~]# cp /etc/kubernetes/kube-*.yaml /etc/kubernetes/manifests/

再次查看apiserver、controller manager、schedule相关的静态pod是否成功启动
[root@k8smaster01 ~]# kubectl get pods -n kube-system -o wide |grep kube-apiserver
[root@k8smaster01 ~]# kubectl get pods -n kube-system -o wide |grep kube-controller-manager
[root@k8smaster01 ~]# kubectl get pods -n kube-system -o wide |grep kube-scheduler

6、再次检查当前master节点的集群证书时间是否已更新

[root@k8smaster01 ~]# kubeadm alpha certs check-expiration

7、如果k8s集群是多master节点,则依次执行上述1-6操作即可完成整体集群证书的更新操作

迷茫运维路
关注
  • 6
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8s集群证书续签100有效期
m0_50978391的博客
05-10 370
K8s集群证书续签100有效期
kubeadmin部署的K8s集群证书更新方案
weixin_45912745的博客
02-11 1055
kubeadmin部署的K8s集群证书更新方案
kubernetes集群更新证书kubeadm方式)
rendongxingzhe的博客
04-24 3763
一.kubernets证书详情 1.查看证书 tree /etc/kubernetes/pki/ 正在上传…重新上传取消 2.各个证书过期时间 /etc/kubernetes/pki/apiserver.crt #1有效期 /etc/kubernetes/pki/front-proxy-ca.crt #10有效期 /etc/kubernetes/pki/ca.crt #10有效期 /etc
Kubernetes集群更换证书(正常更新方法、和更新证书为99
虫虫的博客
03-29 1107
Kubernetes集群更换证书(正常更新方法、和更新证书为99
更新kubeadm创建的集群证书
最新发布
qq_50247813的博客
04-18 721
需要熟悉的知识:官网更新证书参考:https://kubernetes.io/zh-cn/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/静态Pod:https://kubernetes.io/zh-cn/docs/concepts/workloads/pods/#static-pods。
k8s-18-api-server更换证书
weixin_33882452的博客
10-27 1075
1 目前证书是信任三个master ip地址在加一个[root@k8s-masterseversslbak]#cfssl-certinfo-certserver.pem { "subject":{ "common_name":"kubernetes", "country":"CN", "organization":"k8s", ...
kubeadm更新证书及配置
Happywzy~的博客
12-09 1882
问题 通过 kubeadm部署k8s,默认生成的证书有效期是一.需要每更新证书. 查看证书有效期 kubeadm alpha certs check-expiration 更新证书 kubeadm alpha certs renew all 通过crontab定时更新证书 0 0 15 10 * kubeadm alpha certs renew all 证书过期kubectl命令无法使用 # 更新客户端配置 sudo cp -i /etc/kubernetes/admin.conf $HOME/
云原生|kubernetes|kubernetes集群升级+证书更新(Ubuntu-18.04+kubeadm
zsk_john的技术分享专用博客
12-13 5270
一般情况下,不管是kubernetes集群还是什么其它的集群,还是什么tomcat,什么elasticsearch,ssh等等各类软件,当然也包括各个操作系统,比如centos7.Ubuntu,debian等等所有软件类,规避各种各样的安全漏洞基本都是通过升级版本的方式来完成的。 多说一句,在软件制作者的角度来说,升级软件版本的动力一个是安全漏洞的压力,一个是更多的,更 新的功能以及更美观的软件界面。在软件使用者的角度来说,升级软件版本的动力第一个是安全漏洞,其次才是更 新的功能,最后才是美观的软件界
基于cfssl工具集一键生成二进制kubernetes集群相关证书工具
05-10
原文链接:https://blog.csdn.net/m0_37814112/article/details/130596685 功能如下: 1、支持k8s集群一键生产所有相关证书文件及kubeconfig文件 2、支持单master集群、多master集群
Kubernetes集群部署
02-27
Kubernetes集群部署
设置:使用Terraform进行Kubernetes集群设置
02-03
设置:使用Terraform进行Kubernetes集群设置
kubernetes集群部署redis
09-02
kubernetes集群部署redis ,本资源为kubernetes集群部署redis高可用读写分离数据库,内含所有需要的yaml文件,有需要的可进行下载
Prometheus监控实践:Kubernetes集群监控
01-27
Kubernetes集群:监控Kubernetes集群本身的关键指标Kubernetes集群上部署的应用:监控部署在Kubernetes集群上的应用其中基础设施层监控指标的拉取肯定是来在Prometheus的node_exporter,因为我们要监控的服务器节点...
kubeadm更新证书(生产高可用版本k8s)
Timmy的博客
02-28 1419
背景:kubeadm生成的k8s证书默认一有效期,所以到期后需要进行更新 思路: 1、检查证书是否过期 2、执行更新 3、重启相关应用 1、检查证书是否过期 kubeadm alpha certs check-expiration 2、执行更新 kubeadm alpha certs renew ...
kubernetes certs update 【证书更新】
爱死亡机器人
07-25 898
查看 kubelet是否支持证书自动轮换,默认轮换的证书位于目录。查看集群指定证书位置。备份 kubelet。
k8s- kubernetes证书过期替换之kubeadm命令 certs renew all方式
liuyij3430448的博客
04-27 5544
**k8s集群之间的访问会使用到证书,如果使用kubeadm搭建的集群,默认CA证书的有效期为10,其他组件访问证书的有效期为1。如果过期后没有更新证书可能会引起k8s集群的不可用**
k8s集群证书更新步骤
ml344739968的专栏
08-22 1304
k8s证书过期更新步骤
如何使用fabric8io/kubernetes-client连接kubernetes集群 使用证书的方式
06-06
要使用fabric8io/kubernetes-client连接Kubernetes集群并使用证书的方式,你需要按照以下步骤进行操作: 1. 添加依赖:在你的项目中添加fabric8io/kubernetes-client的依赖,你可以在pom.xml文件中添加以下代码: ```xml <dependency> <groupId>io.fabric8</groupId> <artifactId>kubernetes-client</artifactId> <version>5.3.1</version> </dependency> ``` 2. 创建Config对象:在创建KubernetesClient对象之前,需要先创建Config对象,并设置相应的认证信息,以下是一个示例代码: ```java Config config = new ConfigBuilder() .withMasterUrl("https://kubernetes.default.svc.cluster.local") .withTrustCerts(true) .withNamespace("default") .withClientCertData(Base64.getEncoder().encodeToString(clientCert)) .withClientKeyData(Base64.getEncoder().encodeToString(clientKey)) .withCaCertData(Base64.getEncoder().encodeToString(caCert)) .build(); ``` 其中,`withMasterUrl`表示Kubernetes API Server的地址,`withTrustCerts`表示是否信任证书,`withNamespace`表示需要操作的Namespace,`withClientCertData`、`withClientKeyData`、`withCaCertData`分别表示客户端证书、客户端私钥和CA证书的Base64编码字符串,这些信息可以从Kubernetes集群证书文件中获取。 3. 创建KubernetesClient对象:通过以下代码创建一个KubernetesClient对象,这个对象将作为连接Kubernetes集群的入口: ```java KubernetesClient client = new DefaultKubernetesClient(config); ``` 4. 使用KubernetesClient对象进行操作:使用KubernetesClient对象可以进行各种操作,例如获取pod列表、创建deployment等,以下是一个获取pod列表的示例代码: ```java PodList podList = client.pods().list(); ``` 以上就是使用fabric8io/kubernetes-client连接Kubernetes集群并使用证书的方式的基本步骤,你可以根据需要进行扩展和操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值