kubelet证书过期解决方法

最新推荐文章于 2024-05-17 14:16:56 发布
最新推荐文章于 2024-05-17 14:16:56 发布
阅读量20 收藏
点赞数
文章标签: kubelet 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wrqing520/article/details/134031704
版权

昨天收到报警短信:集群中某node状态为notReady,由于是长期不用的,所以放到今天才有空处理,以下记录处理过程。

查看kubelet日志,发现不停的打印证书过期相关提示信息。

以下操作基于kubernetes集群版本:v1.6.6

kubelete 证书默认有效期一年

1.查看证书有效期,这里使用以前下载的cfssl-certinfo

curl -s -L -o /usr/local/bin/cfssl-certinfo https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x /usr/local/bin/cfssl-certinfo
cfssl-certinfo -cert /etc/kubernetes/ssl/kubelet.crt
  显示内容如下:

{
"subject": {
"common_name": "test@1505813004",
"names": [
"test@1505813004"
]
},
"issuer": {
"common_name": "test@1505813004",
"names": [
"test@1505813004"
]
},
"serial_number": "1",
"sans": [
"test"
],
"not_before": "2017-10-24T09:23:24Z",
"not_after": "2018-10-24T09:23:24Z",
"sigalg": "SHA256WithRSA",
"authority_key_id": "",
"subject_key_id": "",
"pem": "-----BEGIN CERTIFICATE-----\nMIIDDKDK........EHi\nThGfI/wURC0=\n-----END CERTIFICATE-----\n"
}
2. 重新生成证书

在证书过期node删除kubelet相关证书文件及配置文件然后重启kubelet,
kubelet会向apiserver发起一个csr
rm /etc/kubernetes/kubelet.kubeconfig
rm /etc/kubernetes/ssl/kubelet.*
systemctl restart kubelet
systemctl status kubelet

//查看未授权的CSR请求:
kubectl get csr
//approve CSR 请求:
kubectl certificate approve csr-4pw6g
NAME AGE REQUESTOR CONDITION
csr-4pw6g 1h kubelet-bootstrap Approved,Issued

  1. 重启kubelet

//重启kubelet
systemctl restart kubelet

//查看node状态
kubectl get no
NAME STATUS AGE VERSION
external Ready 1y v1.6.6

  1. 另:在kubernetes1.7之后,可以采用集群自动签发证书方案,但仍然需要手动重启kubelet, 在1.8之后,就可以自动签发,自动renew证书;也可以设置更长的有效期。后继再添加整理相关内容。
Qing-清风侠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kubelet 证书过期问题
qq_36864672的博客
04-14 393
如果想要调整证书有效期可以通过设置 kube-controller-manager 的 --experimental-cluster-signing-duration 参数实现,该参数默认值为。此时执行 openssl x509 -in /var/lib/kubelet/pki/kubelet-server-current.pem -noout -text | grep ‘Not' 查看kubelet证书时间。没有在重启kubelet服务之前删除/var/lib/kubelet/pki。
kubelet 证书过期导致 k8s 集群 notready
Man_In_The_Night的博客
10-27 1642
pod 部署不上 [root@infra-k8s01 ~]# kb get po -n dev NAME READY STATUS RESTARTS AGE recommend-system-5944d76fc7-hl242 0/1 Pending 0 43m 查看 pod 信息 [root@infra-k8s01 ~]# kb describe po recommend.
K8S证书过期解决办法之替换证书
q_hsolucky的博客
06-20 8503
k8s证书过期解决方案之替换证书
K8S证书过期kubelet证书轮换失败)
qq_43544123的博客
08-13 662
记一次k8s集群证书过期问题
k8s二进制安装—kubelet证书过期
屈帅波的技术博客
12-25 2069
一.第一种解决方法 1.修改kube-controller-manager.service添加或者修改如下内容 –experimental-cluster-signing-duration=87600h \ 然后执行以下命令重启kube-controller-manager systemctl daemon-reload systemctl restart kube-controller-...
K8S 证书过期解决方法
paul_ham的博客
10-12 1243
K8S 证书 过期
k8s-kubeadm证书过期续订解决方法
Harry_z666的博客
11-24 5027
k8s kubeadm 安装下的证书过期续订解决方法
kubeadm kubernetes集群证书过期的处理方法
洒满阳光的午后的博客
11-16 896
动态证书重载目前还不被所有组件和证书支持,所有这项操作是必须的。正确的重启方法是临时将清单文件从 /etc/kubernetes/manifests/ 移除并等待 20 秒(参考 KubeletConfiguration 结构 中的fileCheckFrequency 值)。此时kubelet 会自动终止这些pod。pod终止后再将文件移回去,kubelet将重新创建这些pod。
Kubernetes集群证书过期解决办法
非法小恋
08-18 3883
问题现象 K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问。 一、确认K8S证书过期时间 查看k8s某一证书过期时间: openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text | grep Not 显示如下,通过下面可看到证书有效期是1年,从2021到2022年: 其它证书同理,K8s各个证书过期时间如下: /etc/kubernetes/pki/api
安装kubelet报错的解决方法
06-03
[root@xxx yum.repos.d]# yum install -y kubelet kubeadm kubectl Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile kubernetes | 1.4 kB 00:00:00 No package kubelet available. No ...
kubelet-serving-cert-approver:Kubelet服务TLS证书签名请求批准者
04-01
Kubelet服务证书批准者 Kubelet服务证书批准者是一个自定义批准控制器,用于批准kubernetes.io/kubelet-serving证书签名请求,kubelet用于服务TLS端点。 为什么要使用Kubelet服务证书批准者? 您想要安全地-根据受...
kubelet配置详解及简单实例
09-15
主要介绍了kubelet配置详解及简单实例的相关资料,需要的朋友可以参考下
k8s命令行工具kubelet
06-12
在k8s中进行一些pod的操作离不了kubelet命令行工具,而该工具在国内的下载是不太方便的,所以就上传了,这个是64位操作系统试用的,intel/amd 64位处理器 如果是arm处理器需要到去官方下载
kubelet:kubelet组件配置
04-29
kubelet 实施 此存储库提供了外部版本化的ComponentConfig API类型,用于配置kubelet。 这些外部类型可以很容易地由任何编写Kubernetes ComponentConfig对象的第三方工具出售和使用。 兼容性 此仓库的HEAD将与k8s....
Kubelet containerd 管理命令 ctr常用操作
小楼一夜听春雨,深巷明朝卖杏花
04-30 577
导入可能会出现类似于 ctr: content digest sha256:xxxxxx not found 的错误,要解决这个办法需要 pull 所有平台镜像。--all-platforms:所有平台(amd64 、arm、386 、ppc64le 等),不加的话下载当前平台架构。把已下载的容器镜像挂载至当前文件系统,是为了方便查看镜像中包含的内容。同时导出可以使用--platform导出其它平台的(例如arm)--all-platforms为导出所有平台。-q 只打印镜像名称。
13-云原生监控体系-Mysqld_exporter 监控 MySQL[部署&Dashborad&告警规则实战]
最新发布
qq_22648091的博客
05-17 3
Prometheus 监控 MySQL 服务,使用 mysqld_exporter。 涉及部署、服务的配置,Dashboard 的自动导入已经最重要的规则实战。 特别是规则实战部分,对规则进行的拆解,分析,由浅入深,循序渐渐,深度实践PromQL,还以一如既往的详细,有深度。
运维别卷系列 - 云原生监控平台 之 06.prometheus pushgateway 实践
以梦为马|越骑越傻
05-14 654
Pushgateway 是一种中介服务,允许您从无法抓取的作业中推送指标。Pushgateway 是一种中介服务,允许您从无法抓取的作业中推送指标。有关详细信息,请参阅推送指标。官方建议在某些有限的情况下使用 Pushgateway。盲目地使用 Pushgateway 而不是 Prometheus 通常的拉取模型进行常规指标收集时,存在几个陷阱:当通过单个 Pushgateway 监控多个实例时,Pushgateway 既是单点故障,又是潜在的瓶颈。将失去 Prometheus 通过up。
运维别卷系列 - 云原生监控平台 之 07.prometheus kubernetes 监控实践
以梦为马|越骑越傻
05-14 928
如果 endpoint 由 Pod 支持,则 Pod 的所有其他容器端口(未绑定到 endpoint 端口)也会被发现为目标。cAdvisor 是谷歌开源的工具,已经集成在 kubelet 里面了,只要是采集容器的资源使用情况的,和 kube-state-metrics 是有区别的,这两个组件也是搭配使用的。如果容器没有指定的端口,则会为每个容器创建一个无端口目标,以便通过重新标记手动添加端口。为每个服务的每个服务端口发现一个目标。该地址将设置为服务的 Kubernetes DNS 名称和相应的服务端口。
kubelet证书过期
04-27
如果kubelet证书过期,可以通过以下步骤进行更新: 1. 生成新的证书和私钥 可以使用openssl命令生成新的证书和私钥,例如: ``` openssl genrsa -out kubelet.key 2048 openssl req -new -key kubelet.key -out ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值