K8S join 证书过期 节点报错:certificate has expired or is not yet valid

已于 2024-05-02 22:53:43 修改
阅读量512 收藏
点赞数 1
分类专栏: # k8s 文章标签: kubernetes 容器 云原生 证书过期
于 2024-05-02 08:54:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wpj130/article/details/138387185
版权

问题场景:

我是因为虚拟机,挂起了几天,再打开join节点的时候报错:

  • 证书过期报错
...其他输出
I0427 15:33:56.626776   93338 token.go:215] [discovery] Failed to request cluster-info, will try again: Get "https://192.168.1.100:6443/api/v1/namespaces/kube-public/configmaps/cluster-info?timeout=10s": x509: certificate has expired or is not yet valid: current time 2024-04-27T15:33:56+08:00 is before 2024-04-27T12:26:15Z

certificate has expired or is not yet valid: current time 就是指的证书过期,而且是master的证书过期。

解决办法:


检查各个证书是否真的过期

[root@master pki]# kubeadm alpha certs check-expiration
CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
admin.conf                 Apr 27, 2025 12:59 UTC   364d                                    no
apiserver                  Apr 27, 2025 13:05 UTC   364d            ca                      no
apiserver-etcd-client      Apr 27, 2025 12:26 UTC   364d            etcd-ca                 no
apiserver-kubelet-client   Apr 27, 2025 12:59 UTC   364d            ca                      no
controller-manager.conf    Apr 27, 2025 12:59 UTC   364d                                    no
etcd-healthcheck-client    Apr 27, 2025 12:26 UTC   364d            etcd-ca                 no
etcd-peer                  Apr 27, 2025 12:26 UTC   364d            etcd-ca                 no
etcd-server                Apr 27, 2025 12:26 UTC   364d            etcd-ca                 no
front-proxy-client         Apr 27, 2025 12:59 UTC   364d            front-proxy-ca          no
scheduler.conf             Apr 27, 2025 12:59 UTC   364d                                    no

CERTIFICATE AUTHORITY   EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
ca                      Apr 25, 2034 12:26 UTC   9y              no
etcd-ca                 Apr 25, 2034 12:26 UTC   9y              no
front-proxy-ca          Apr 25, 2034 12:26 UTC   9y              no

我这里显示是没有过期的

如果没有过期就同步各个服务器的时间,一般安装k8s都有装ntpdate没有的话自行安装

[root@master pki]# ntpdate time.windows.com
# 或者
[root@master pki]# ntpdate pool.ntp.org

如果过期了,就刷新重新刷新证书(全部)并重启Docker容器内容和K8S

[root@master pki]# kubeadm alpha certs renew all
[root@master pki]# docker ps |grep kube-apiserver|grep -v pause|awk '{print $1}'|xargs -i docker restart {}
[root@master pki]# docker ps |grep kube-controller-manage|grep -v pause|awk '{print $1}'|xargs -i docker restart {}
[root@master pki]# docker ps |grep kube-scheduler|grep -v pause|awk '{print $1}'|xargs -i docker restart {}
[root@master pki]# systemctl restart kubelet

wpj130
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
K8S集群系列一:K8S集群环境搭建
swpigris81的专栏
06-04 2983
K8S集群环境搭建 当下,K8S非常的火爆,因此特意记录下学习K8S的点点滴滴,以备不时之需。 环境准备 服务器节点信息 服务IP 服务器角色 服务名 192.168.2.152 master master 192.168.2.182 node1 node1 服务器配置信息: master:虚拟机安装的CentOS7,6核心,4G内存 ...
k8s: x509: certificate has expired or is not yet valid
c++应用程序编程和调试专栏
08-23 1297
出现此问题: 一般的原因时, 设备时间了,不一致,我是在使用kubeadm join 添加集群结点时,误。通过在个节点上调用 date 查看时间是否一致,发现,确实是时间不一致。 此时,需要重新同步需要添加的结点的时间 ntpdate ntp.api.bz 如果出现: the NTP socket is in use, exiting 则,先停止 ntp 服务,然后,...
[k8s] kubectl返回certificate has expired or is not yet valid
Yin_Bill_Wang的专栏
08-12 4581
前两天在k8s master上执行kubectl get pod时,返回x509 certificate has expired or is not yet valid误。 原因 使用kubeadm安装k8s时,默认生成的client certificate的有效期是1年。 可以使用kubeadm certs check-expiration或kubeadm alpha certs check-expiration(较早的kubeadm版本中,该命令还是在alpha阶段)查看当前证书的信息。 后续命令为了
主机加入集群 certificate etcd/peer is invalid: x509
xiliangMa的博客
11-04 2620
主机加入集群 certificate etcd/peer is invalid: x509 问题描述 搭建高可用集群,加入第二台备用 master 节点 , 从误日志看关键误日志是 is invalid: x509, 首先确保 node 或者备用 master 节点的相关证书存在。 [root@master2 k8s]# kubeadm join 192.168.1.110:644...
k8s入门:裸机部署 k8s 集群
热门推荐
不懂一休
05-20 1万+
文章目录一、裸机部署 k8s 集群1、基础环境2、添加域名映射①、设置主机名 HostName②、三台服务器添加域名映射3、关闭相关服务①、关闭SELinux②、关闭防火墙3、添加 yum 源①、添加 k8s 的yum源②、添加 docker 的 yum源4、安装 k8s 组件启动 docker、kubelet 服务修改 docker 配置kubeadm 初始化集群(只需要在主节点跑)授权 node 节点访问集群工作节点加入集群安装网络插件部署应用到 k8s 集群k8s集群,从 DockerHub 拉取镜像
kubeadm安装的k8s,证书过期了怎么办?
qq_50119948的博客
05-06 1728
. 问题起源 kubeadm 是 kubernetes 提供的一个初始化集群的工具,使用起来非常方便。但是它创建的apiserver、controller-manager等证书默认只有一年的有效期,同时kubelet 证书也只有一年有效期,一年之后 kubernetes 将停止服务。 官方推荐一年之内至少用 kubeadm upgrade 更新一次 kubernetes 系统,更新时也会自动更新证书。不过,在产线环境或者无法连接外网的环境频繁更新 kubernetes 不太现实。 我们可以在过期之前或之后,
Kubeadm安装的K8S集群1年证书过期问题的解决思路
weixin_30509393的博客
03-07 1775
这个问题,很多使用使用kubeadm的用户都会遇到。 网上也有类似的帖子,从源代码编译这种思路, 在生产环境,有些不现实。 还是使用kubeadm的命令操作,比较自然一点。 当然,自行生成一套证书,也是在新安装集群里,可以考虑的方案。 =============================================== .问题起源 kubeadm 是 ku...
k8s1.18.20高可用集群(修改源码延长证书时间)
qq_25934401的博客
10-27 1216
一、修改源码增加证书有效时间到100年 k8s有两种证书: ca证书默认是10年(ca、etcd-ca 、front-proxy-ca) 客户端证书和集群间认证证书有效期是1年:apiserver 、etcd-server、apiserver-etcd-client等 过期后,会导致api service不可用,使用过程中会出现:x509: certificate has expired or is not yet valid. 在初始化群集之前重新编译kubeadm,证书有效期设置为100年 1、获取源代
Kubernetes证书过期的离线解决方案
ftzchina的博客
05-22 2830
一:证书过期原因 默认使用kubeadm创建的集群其构成组件apiserver、controller-manager等证书默认只有一年的有效期,同时kubelet 证书也只有一年有效期,一年之后 kubernetes 将停止服务。官方推荐一年之内至少用 kubeadm upgrade 更新一次 kubernetes 系统,更新时也会自动更新证书。不过很多环境频繁更新 kubernetes 不太现实。网上大部分资料都是在线情况下进行证书延期操作,如果在不访问互联网的情况下,如何进行证书延期,现在很多生产环境
k8s证书过期处理方案
11-17
Unable to connect to the server: x509: certificate has expired or is not yet valid 查看K8S的日志: Part of the existing bootstrap client certificate is expired: 2022-11-9 9:29:04 +0000 UT 这是说明k8s...
使用安装的nvm来安装node各版本v9.6.1
06-29
使用安装的nvm来安装node各版本v9.6.1
ORA-28001 the password has expired密码过期.docx
02-22
ORA-28001 the password has expired密码过期
ERROR 1862 (HY000): Your password has expired. To log in you must change it using a .....
09-09
当你在安装 MySQL过程中,通过mysqld --initialize 初始化 mysql 操作后,生成临时密码后,没有直接进行 MySQL连接,中途重启服务或者重启机器等,导致密码失效问题,怎么处理呢,感兴趣的朋友一起看看吧
ERROR 1862 (HY000): Your password has expired. To log in you must change it using a …..
01-19
ERROR 1862 (HY000): Your password has expired. To log in you must change it using a client that supports expired passwords 出现问题原因: 可能是你在安装 MySQL过程中,通过mysqld –initialize 初始化 ...
k8s相关常用语句
QQ563627436的博客
05-11 482
查连的是哪个数据库:kubectl logs -f --tail=500000 phoenix-trade-a1e3d-9c4f897c7-xb26g -n sit-jd20230721zh | grep dbId=看实时日志: kubectl logs -f --tail=500000 ${pod的名称} -n ${命名空间}(pod的名称就像这样的:cif-sit-gp20230519go-6bf7bd4c99-948pc)
K8s源码分析(二)-K8s调度队列介绍
slipegg的博客
05-10 1230
结合K8s源代码,对K8s的调度队列进行了深入分析
k8s、helm删除不掉资源问题处理
yztezhl的专栏
05-13 322
k8s、helm删除不掉资源问题处理
k8s-从应用访问pod元数据以及其他资源
最新发布
weixin_43784341的博客
05-14 379
在Kubernetes中,可以通过在应用内使用 Downward API 或者通过 Service Account 的方式来访问 Pod 的元数据以及其他资源。下面我将为你介绍这两种方法的详细代码实现。
x509: certificate has expired or is not yet valid
03-23
当你遇到"x509: certificate has expired or is not yet valid"的误提示时,意味着证书过期或尚未生效。 证书的有效期由证书颁发机构(CA)设置,通常包括开始生效日期和截止日期。如果当前日期在证书的有效期...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值