Rancher Server 证书更新

最新推荐文章于 2024-07-03 09:22:47 发布
最新推荐文章于 2024-07-03 09:22:47 发布
阅读量552 收藏 1
点赞数
分类专栏: kubenetes 文章标签: rancher docker 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_60092693/article/details/129017788
版权

集群安装

yum update -y
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo && yum makecache

mkfs.ext4 /dev/sdb
mount /dev/sdb /mnt/
mount -t nfs -o vers=3,nolock 10.1.0.7:/ /app

curl https://releases.rancher.com/install-docker/19.03.sh | sh
docker ps
systemctl stop docker
mv  /var/lib/docker   /mnt/docker
ln -s /mnt/docker /var/lib/docker
systemctl start docker
docker ps
docker info

curl -L https://github.com/docker/compose/releases/download/1.21.0/docker-compose-$(uname -s)-$(uname -m) -o /usr/local/bin/docker-compose
chmod 755 docker-compose

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo && yum makecache
yum -y install nfs-utils
yum update -y

curl https://releases.rancher.com/install-docker/19.03.sh | sh
systemctl stop docker
mv /var/lib/docker /mnt/docker
/dev/sdb        493G  3.4G  464G   1% /mnt
ln -s /mnt/docker /var/lib/docker
cat /etc/docker/daemon.json
{
"max-concurrent-downloads": 3,
"max-concurrent-uploads": 5,
"insecure-registries":["10.1.0.24:8888"],
"log-driver": "json-file",
"log-opts": {
    "max-size": "100m",
    "max-file": "3"
    }
}
systemctl daemon-reload
systemctl restart docker
docker info

rancher

mkdir /mnt/rancher
docker run -d --restart=unless-stopped   -p 80:80 -p 443:443   --privileged   -v /mnt/rancher:/var/lib/rancher   rancher/rancher:v2.5.9
#Kubernetes 版本  v1.20.11
[root@dev-rancher ~]# docker images
REPOSITORY          TAG         IMAGE ID            CREATED             SIZE
rancher/rancher     v2.5.9      d7329a56a8e4        17 months ago       1.06GB

master/etcd

sudo docker run -d --privileged --restart=unless-stopped --net=host -v /etc/kubernetes:/etc/kubernetes -v /var/run:/var/run  rancher/rancher-agent:v2.5.9 --server https://10.1.0.31 --token tkvs7c5bztn6cqjb6mlnp6m4vl2qcffsvt7jb7h5skmbrq6llkmrz6 --ca-checksum 90e166c7a46d1c40470dee6143f850e875e457bece96a4768dc7c0fe75a1f854 --etcd --controlplane    

[root@dev-master ~]# docker images
REPOSITORY                                   TAG                 IMAGE ID            CREATED             SIZE
rancher/hyperkube                            v1.20.11-rancher1   bf745e45cbc3        15 months ago       1.87GB
rancher/rke-tools                            v0.1.78             6eeaa0b8da2c        17 months ago       264MB
rancher/rancher-agent                        v2.5.9              ebd5d4b8d7aa        17 months ago       536MB
rancher/rke-tools                            v0.1.75             f27a7e64b68c        18 months ago       196MB
rancher/mirrored-coreos-etcd                 v3.4.15-rancher1    87c4f81d8822        22 months ago       83.8MB
rancher/mirrored-calico-node                 v3.17.2             5a3c598c81d5        22 months ago       165MB
rancher/mirrored-calico-pod2daemon-flexvol   v3.17.2             e2608e41ac3d        22 months ago       21.7MB
rancher/mirrored-calico-cni                  v3.17.2             81860c306a8d        22 months ago       128MB
rancher/mirrored-calico-kube-controllers     v3.17.2             59b927df412f        22 months ago       52.1MB
rancher/coreos-flannel                       v0.13.0-rancher1    0bfefe9f649b        2 years ago         57.5MB
rancher/kube-api-auth                        v0.1.4              96148b821282        2 years ago         37.3MB
rancher/mirrored-pause                       3.2                 80d28bedfe5d        2 years ago         683kB

node

sudo docker run -d --privileged --restart=unless-stopped --net=host -v /etc/kubernetes:/etc/kubernetes -v /var/run:/var/run  rancher/rancher-agent:v2.5.9 --server https://10.1.0.31 --token tkvs7c5bztn6cqjb6mlnp6m4vl2qcffsvt7jb7h5skmbrq6llkmrz6 --ca-checksum 90e166c7a46d1c40470dee6143f850e875e457bece96a4768dc7c0fe75a1f854 --worker

[root@dev-node ~]# docker images
REPOSITORY                                         TAG                     IMAGE ID            CREATED             SIZE
nginx                                              latest                  605c77e624dd        11 months ago       141MB
rancher/hyperkube                                  v1.20.11-rancher1       bf745e45cbc3        15 months ago       1.87GB
rancher/rke-tools                                  v0.1.78                 6eeaa0b8da2c        17 months ago       264MB
rancher/rancher-agent                              v2.5.9                  ebd5d4b8d7aa        17 months ago       536MB
rancher/fleet-agent                                v0.3.5                  2a0c55d5db35        19 months ago       163MB
rancher/nginx-ingress-controller                   nginx-0.43.0-rancher3   d62950c1bfa1        20 months ago       296MB
rancher/mirrored-calico-node                       v3.17.2                 5a3c598c81d5        22 months ago       165MB
rancher/mirrored-calico-pod2daemon-flexvol         v3.17.2                 e2608e41ac3d        22 months ago       21.7MB
rancher/mirrored-calico-cni                        v3.17.2                 81860c306a8d        22 months ago       128MB
rancher/mirrored-metrics-server                    v0.4.1                  9759a41ccdf0        2 years ago         60.5MB
rancher/mirrored-coredns-coredns                   1.8.0                   296a6d5035e2        2 years ago         42.5MB
rancher/coreos-flannel                             v0.13.0-rancher1        0bfefe9f649b        2 years ago         57.5MB
rancher/mirrored-cluster-proportional-autoscaler   1.8.1                   4f1064cf7caf        2 years ago         40.7MB
rancher/mirrored-pause                             3.2                     80d28bedfe5d        2 years ago         683kB

节点添加 集群仪表盘–kubeconfig旁点击,进入registation CMD,添加节点

独立容器 Rancher Server 证书更新

https://docs.rancher.cn/docs/rancher2/trending-topics/certificate-rotation/_index/

查看证书,浏览器里点证书 当前 11:06

1、exec 到 rancher server
kubectl --insecure-skip-tls-verify -n kube-system delete secrets k3s-serving
kubectl --insecure-skip-tls-verify delete secret serving-cert -n cattle-system
rm -f /var/lib/rancher/k3s/server/tls/dynamic-cert.json

2、重启 rancher-server
docker restart <rancher_server_id>
3、执行以下命令刷新参数
curl --insecure -sfL https://10.1.0.31/v3  # Rancher Server 的访问地址
docker restart <rancher_server_id>

浏览器查看证书,签发时间没有变,但是有效时间延长了

颁发日期	2022年12月21日星期三 11:06:38
截止日期	2023年12月21日星期四 13:43:57

颁发日期	2022年12月21日星期三 11:06:38
截止日期	2023年12月21日星期四 13:49:21

RKE 轮换证书

[root@dev-rancher ~]# docker exec -it e66494c60479  bash

root@e66494c60479:/var/lib/rancher# for i in ls /var/lib/rancher/k3s/server/tls/*.crt; do echo $i; openssl x509 -enddate -noout -in $i; done
ls
...
/var/lib/rancher/k3s/server/tls/client-admin.crt
notAfter=Dec 21 03:06:10 2023 GMT
/var/lib/rancher/k3s/server/tls/client-auth-proxy.crt
notAfter=Dec 21 03:06:10 2023 GMT
/var/lib/rancher/k3s/server/tls/client-ca.crt
notAfter=Dec 18 03:06:10 2032 GMT
/var/lib/rancher/k3s/server/tls/client-cloud-controller.crt
notAfter=Dec 21 03:06:10 2023 GMT
/var/lib/rancher/k3s/server/tls/client-controller.crt
notAfter=Dec 21 03:06:10 2023 GMT
/var/lib/rancher/k3s/server/tls/client-k3s-controller.crt
notAfter=Dec 21 03:06:10 2023 GMT
/var/lib/rancher/k3s/server/tls/client-kube-apiserver.crt
notAfter=Dec 21 03:06:10 2023 GMT
/var/lib/rancher/k3s/server/tls/client-kube-proxy.crt
notAfter=Dec 21 03:06:10 2023 GMT
/var/lib/rancher/k3s/server/tls/client-scheduler.crt
notAfter=Dec 21 03:06:10 2023 GMT
/var/lib/rancher/k3s/server/tls/request-header-ca.crt
notAfter=Dec 18 03:06:10 2032 GMT
/var/lib/rancher/k3s/server/tls/server-ca.crt
notAfter=Dec 18 03:06:10 2032 GMT
/var/lib/rancher/k3s/server/tls/serving-kube-apiserver.crt
notAfter=Dec 21 03:06:10 2023 GMT

`

openssl x509 -in /etc/kubernetes/ssl/kube-apiserver.pem -noout -dates
notBefore=Dec 21 03:26:12 2022 GMT
notAfter=Dec 18 06:07:55 2032 GMT
#默认证书有效期10年

修改本机的系统时间,提前触发集群证书过期时间

[root@dev-rancher ~]# timedatectl set-ntp false
[root@dev-rancher ~]# timedatectl set-time '2025-07-11 18:02:20'
[root@rancher01 ~]# kubectl get nodes
Unable to connect to the server: x509: certificate has expired or is not yet valid: current time 2022-07-20T13:57:29+08:00 is after 2022-07-12T16:33:11Z

rke cert rotate		#批量更新所有服务证书(CA 证书不变)
rke cert rotate --service kubelet	#更新某个指定服务(CA 证书不变)
rke cert rotate --rotate-ca		#轮换 CA 和所有服务证书
daydayup9527
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker部署rancher证书过期问题解决方案
04-24
docker部署rancher证书过期问题解决方案,网上有挺多解决方案,基本都是一部分一部分的,不连续
metrics-server-on-rancher-2.0.2:通过Rancher部署的集群在Kubernetes上设置Metrics-Server的方法
05-13
Metrics-Server还需要Heapster不需要的TLS证书CA文件。解决方案摘要其中之一修改节点定义,以确保集群与度量服务器兼容。 修复现有节点以支持metrics-server。更多信息这种方法是改编自从 。设置修改集群定义注意本...
Rancher证书更新
weixin_51720711的博客
03-25 2823
一、环境 主机名 IP地址 操作系统 rancher版本 K8s-Master 192.168.10.236 Centos 7 2.5.9 二、更新证书 1、查看当前证书到期时间 2、进行证书轮换 [root@K8s-Master ~]# docker ps |grep rancher/rancher d581da2b7c4e rancher/rancher:v2.5.9 "entrypoint.sh" 2
rancher v2.4.5 证书到期问题解决
最新发布
weixin_46467688的博客
07-03 239
2、新启动rancher 替换容器中证书目录不生效。1、修改服务器时间不生效。
Rancher2.5.9版本证书更新
Outsider_in的博客
08-23 705
Rancher2.5.9版本证书更新
rancher2.4.17证书过期了,处理方法
qq_759035366的博客
10-09 562
然后去浏览器登录rancher,看看正常吗?如果正常,需要在rancher页面上执行证书更新操作,如果还是不行就需要如下的操作。
Rancher 更新过期证书
小康子的博客
08-26 1479
问题描述: Rancher UI 页面打不开,查看容器状态,显示 rancher agent 一直重启。 查看 agent 容器日志显示与 server 连接失败 server-ip:443 connection refused 查看 server 日志显示 X509 证书失效。 解决方法 1. 调整服务器日期 将服务器时间同步服务关闭,调整系统日期提前到证书有效期内,然后打开 UI 页面进行证书更新。 2. 按照官方文档进行证书轮换 官方文档地址 # 进入 server 容器 docker exe.
Rancher2.6.2证书更新--有坑需要注意
忘记旧账号的运维~
04-07 897
rancher server证书有效期是一年,在一年后,rancher server会报证书过期。通过下面的方式你可以创建新的证书。坑写在前面吧,Rancher2.6.2或一下版本的证书不会自动轮换,官网有rke轮换的方法,切记要看清楚版本再操作~~Rancher v2.6.3 及更高版本中,rancher-webhook deployments 则会在到期前。本方法使用于单节点部署的rancher及rke部署的rancher,通用方法。版本创建的证书将在一年后过期。证书不会自动更新,需要手动更新
Rancher 轮换证书Rancher 自身证书过期处理
小单的博客专栏
12-08 2034
概述 本文所述 “证书” 分为 “Rancher 自身证书” 和 “Rancher 启动的 Kubernetes 的证书” 两种。 默认情况下,Kubernetes 集群所需要的证书Rancher 生成,如果出现证书过期,或证书泄露等情况,则需要使用新的证书轮换掉有问题的证书。轮换证书后,Kubernetes 组件将自动重新启动。 以下服务支持证书轮换: etcd kubelet kube-apiserver kube-proxy kube-scheduler kube-controller-mana
Rancher v2.6 Documentation.pdf
12-31
Rancher 还提供了其他功能,包括证书管理、TLS 设置、证书 troubleshoot 等。用户可以根据自己的需求选择合适的功能。 资源 Rancher 提供了丰富的资源,包括文档、教程、社区支持等。用户可以根据自己的需求选择...
Rancher部署Traefik实现微服务的快速发现
01-27
此外,它还具备配置文件的热更新能力,无须重启即可应用新配置,同时支持HTTP/2、Websocket、SSL和Let's Encrypt自动更新HTTPS证书。 Traefik的高可用性体现在它可以运行在集群模式下,提供稳定的服务。它还有一个...
Rancher Fleet..docx
08-17
Fleet 的使用需要指定 API_SERVER_URL 和 API_SERVER_CA,然后使用 Helm 安装 Fleet CRD 和 Fleet。 Rancher Fleet 是一个轻量级的 GitOps 工具,用于管理单个或多个集群,提供了灵活的部署方式和高效的资源管理。
rancher证书过期怎么办
运维@小兵的博客
12-17 5258
查看证书日期 find / -name '*client-ca.crt' -type f cd /data/docker/volumes/d5c55bbfc477cc744ec4b7ba2361c26b3bc5c814ee9e79e7205207b02d278bdd/_data/k3s/server/tls/ for i in ls /var/lib/rancher/k3s/server/tls/*.crt; do echo $i; openssl x509 -enddate -noout -in $i
rancher证书过期,更新操作
qq_759035366的博客
08-05 417
看着比其他的都靠谱,我这里转载一下,以变下次找不到了。
rancher 2.5.7 证书过期处理方案
小志的博客
07-24 609
rancher2.5.7版本因证书问题ui无法访问
docker方式安装rancher证书更换终极办法
wangxi83的博客
04-20 2033
docker方式安装rancher证书更换终极办法 很多同学使用的是docker run rancher之后构建的RKE环境 不管是什么情况,因为证书问题导致rancher进不去,方法如下 处理过程 1、停止当前的rancher docker stop <RANCHER_CONTAINER_NAME> RANCHER_CONTAINER_NAME是rancher的容器名 2、创建数据备份卷 docker create --volumes-from <RANCHER_CONTAINER_N
更换rancher证书
个人成长的轨迹记录
11-14 355
rancher控制台的https证书有效期一年,到期后需要手动更新证书。当rancher证书过期后,会导致rancher控制台无法访问的问题。
Rancher安装k8s: rke高可用集群
eyeofeagle的博客
11-08 2735
文章目录1,启动rancher2,页面创建k8s集群 rke概念:https://docs.rancher.cn/docs/rancher2/cluster-provisioning/rke-clusters/_index/ 1,启动rancher 考虑高可用(3节点3备份): mount -t glusterfs 192.168.56.7:/gluster_out1 /export docker run -d --restart=unless-stopped \ -p 8080:80 -p 44
rancher 证书
10-14
您好,关于 Rancher 证书,您需要具体说明您想要了解的是哪方面的证书,以下是 Rancher 中常见的几种证书: 1. Rancher Server 证书Rancher Server 会自动生成一个默认的 SSL 证书,用于保护 Rancher Server 的 Web 界面。如果您需要使用自己的证书,可以在 Rancher Server 启动时通过参数 `--tls-cert` 和 `--tls-private-key` 指定证书和私钥文件。 2. Rancher Agent 证书Rancher Agent 会自动生成一个默认的 SSL 证书,用于与 Rancher Server 进行通信。如果您需要使用自己的证书,可以在创建主机时通过参数 `--engine-insecure-registry` 指定证书文件。 3. Kubernetes 证书:如果您使用 Rancher 部署 Kubernetes 集群,那么 Kubernetes 集群中也会涉及到一些证书,例如 etcd 证书、kube-apiserver 证书等。这些证书的生成和管理方式与普通 Kubernetes 集群相同。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值