如何处理 Kubeadm 搭建的集群证书过期问题

最新推荐文章于 2024-07-04 22:08:37 发布
最新推荐文章于 2024-07-04 22:08:37 发布
阅读量6.4k 收藏 3
点赞数 1
分类专栏: Kubernetes 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xzk9381/article/details/109535894
版权

推荐阅读

Helm3(K8S 资源对象管理工具)视频教程:https://edu.csdn.net/course/detail/32506
Helm3(K8S 资源对象管理工具)博客专栏:https://blog.csdn.net/xzk9381/category_10895812.html

本文原文链接:https://blog.csdn.net/xzk9381/article/details/109535894,转载请注明出处。如有发现文章中的任何问题,欢迎评论区留言。

Kubeadm 证书过期处理

以下内容参考了如下链接:https://www.cnblogs.com/skymyyang/p/11093686.html

一、处理证书已过期的集群

使用 kubeadm 搭建的集群,默认证书有效期是 1 年。如果没有在证书过期前续期,那么集群会无法运行,使用的过程中会报如下错误:

x509: certificate has expired or is not yet valid.

查看当前 kubeadm 搭建的集群证书有效期信息,命令如下:

[@master74-53 ~]#  for i in /etc/kubernetes/pki/*.crt;do echo $i; openssl x509 -in $i -text -noout|egrep "Not Before|Not After";echo "-----------";done
/etc/kubernetes/pki/apiserver.crt
            Not Before: Oct 24 03:10:01 2019 GMT
            Not After : Oct 23 03:10:01 2020 GMT
-----------
/etc/kubernetes/pki/apiserver-etcd-client.crt
            Not Before: Oct 24 03:10:03 2019 GMT
            Not After : Oct 23 03:10:04 2020 GMT
-----------
/etc/kubernetes/pki/apiserver-kubelet-client.crt
            Not Before: Oct 24 03:10:01 2019 GMT
            Not After : Oct 23 03:10:02 2020 GMT
-----------
/etc/kubernetes/pki/ca.crt
            Not Before: Oct 24 03:10:01 2019 GMT
            Not After : Oct 21 03:10:01 2029 GMT
-----------
/etc/kubernetes/pki/front-proxy-ca.crt
            Not Before: Oct 24 03:10:02 2019 GMT
            Not After : Oct 21 03:10:02 2029 GMT
-----------
/etc/kubernetes/pki/front-proxy-client.crt
            Not Before: Oct 24 03:10:02 2019 GMT
            Not After : Oct 23 03:10:03 2020 GMT
-----------

可以看到证书的有效期是截止到 2020 年 10 月份,在证书过期后,使用如下步骤进行处理。

1. 针对 kubeadm 1.13.x 及以上版本

首先在服务器上创建一个 kubeadm.yaml 的文件,内容如下:

apiVersion: kubeadm.k8s.io/v1beta1
kind: ClusterConfiguration
kubernetesVersion: v1.16.2 				# 这里修改成集群对应的版本
imageRepository: registry.cn-hangzhou.aliyuncs.com/google_containers 
#这里使用国内的镜像仓库,否则在重新签发的时候会报错:could not fetch a Kubernetes version from the internet: unable to get URL "https://dl.k8s.io/release/stable-1.txt"

将 /etc/kubernetes/pki 中的证书文件进行备份,然后使用如下命令重新生成证书:

[@master74-53 /opt]# kubeadm alpha certs renew all --config=/opt/kubeadm.yaml
certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself renewed
certificate for serving the Kubernetes API renewed
certificate the apiserver uses to access etcd renewed
certificate for the API server to connect to kubelet renewed
certificate embedded in the kubeconfig file for the controller manager to use renewed
certificate for liveness probes to healthcheck etcd renewed
certificate for etcd nodes to communicate with each other renewed
certificate for serving etcd renewed
certificate for the front proxy client renewed
certificate embedded in the kubeconfig file for the scheduler manager to use renewed

运行命令后后重新生成如下证书文件:

#-- /etc/kubernetes/pki/apiserver.key
#-- /etc/kubernetes/pki/apiserver.crt

#-- /etc/kubernetes/pki/apiserver-etcd-client.key
#-- /etc/kubernetes/pki/apiserver-etcd-client.crt

#-- /etc/kubernetes/pki/apiserver-kubelet-client.key
#-- /etc/kubernetes/pki/apiserver-kubelet-client.crt

#-- /etc/kubernetes/pki/front-proxy-client.key
#-- /etc/kubernetes/pki/front-proxy-client.crt

#-- /etc/kubernetes/pki/etcd/healthcheck-client.key
#-- /etc/kubernetes/pki/etcd/healthcheck-client.crt

#-- /etc/kubernetes/pki/etcd/peer.key
#-- /etc/kubernetes/pki/etcd/peer.crt

#-- /etc/kubernetes/pki/etcd/server.key
#-- /etc/kubernetes/pki/etcd/server.crt

查看新生成的证书有效期:

[@master74-53 /opt]#  for i in /etc/kubernetes/pki/*.crt;do echo $i; openssl x509 -in $i -text -noout|egrep "Not Before|Not After";echo "-----------";done
/etc/kubernetes/pki/apiserver.crt
            Not Before: Oct 24 03:10:01 2019 GMT
            Not After : Oct 26 06:41:43 2021 GMT
-----------
/etc/kubernetes/pki/apiserver-etcd-client.crt
            Not Before: Oct 24 03:10:03 2019 GMT
            Not After : Oct 26 06:41:44 2021 GMT
-----------
/etc/kubernetes/pki/apiserver-kubelet-client.crt
            Not Before: Oct 24 03:10:01 2019 GMT
            Not After : Oct 26 06:41:44 2021 GMT
-----------
/etc/kubernetes/pki/ca.crt
            Not Before: Oct 24 03:10:01 2019 GMT
            Not After : Oct 21 03:10:01 2029 GMT
-----------
/etc/kubernetes/pki/front-proxy-ca.crt
            Not Before: Oct 24 03:10:02 2019 GMT
            Not After : Oct 21 03:10:02 2029 GMT
-----------
/etc/kubernetes/pki/front-proxy-client.crt
            Not Before: Oct 24 03:10:02 2019 GMT
            Not After : Oct 26 06:41:46 2021 GMT
-----------

使用如下命令重新生成 kubeconfig 文件,否则 kubectl 将无法使用:

kubeadm init phase kubeconfig all

然后将新生成的文件拷贝到 ${HOME}/.kube 目录下并重命名为 config

cp -pr /etc/kubernetes/admin.conf /root/.kube/config

重启 apiserver、kube-controller、kube-scheduler、etcd 容器即可。

本文原文链接:https://blog.csdn.net/xzk9381/article/details/109535894,转载请注明出处。如有发现文章中的任何问题,欢迎评论区留言。

店伙计
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
k8s集群证书过期处理,更新kubeadm生成的证书有效期为10年
隔壁老瓦的专栏
05-08 5589
该脚本用于处理过期或者即将过期kubernetes集群证书 kubeadm生成的证书有效期为为1年,该脚本可将kubeadm生成的证书有效期更新为10年 该脚本只处理master节点上的证书kubeadm默认配置了kubelet证书自动更新,node节点kubelet.conf所指向的证书会自动更新 小于v1.17版本的master初始化节点(执行kubeadm init的节点) ku...
kubeadm kubernetes集群证书过期处理方法
洒满阳光的午后的博客
11-16 958
动态证书重载目前还不被所有组件和证书支持,所有这项操作是必须的。正确的重启方法是临时将清单文件从 /etc/kubernetes/manifests/ 移除并等待 20 秒(参考 KubeletConfiguration 结构 中的fileCheckFrequency 值)。此时kubelet 会自动终止这些pod。pod终止后再将文件移回去,kubelet将重新创建这些pod。
K8s 集群kubeadmCA 证书过期解决方案
最新发布
RAB
07-04 1352
K8s 集群kubeadmCA 证书过期解决方案。
# kubeadm安装的k8s证书过期处理
qq_50119948的博客
05-05 418
kubeadm安装的k8s集群证书过期处理 kubeadm安装的k8s证书过期处理 一、背景说明 kubeadm默认证书为一年,一年过期后,会导致api service不可用,使用过程中会出现:x509: certificate has expired or is not yet valid kubelet证书分为server和client两种, k8s1.9开始默认启用了client证书的自动轮换,但server证书自动轮换需要用户配置开启 二、开启server证书自动轮换 此方案适用于证书还未过期
kubeadm初始化k8s集群延长证书过期时间.bash
06-01
kubeadm初始化k8s集群延长证书过期时间
修改kubeadm证书过期时间
weixin_34111790的博客
12-17 492
本文通过修改kubeadm源码让kubeadm默认的一年证书过期时间修改为99年 我已经编译好了一个放在了github上,有需要 的可以直接下 代码编译 编译环境镜像我已经放到dockerhub上了:fanux/kubernetes-build:v1.0.0 首先clone k8s 代码: git clone https://github.com/kub...
kubeadm搭建kubernetes集群
01-27
首先环境还是三台虚拟机,虚拟机地址如下 ...yumdownloader下载,然后scp到本地,虽然能解决问题,但是蛋碎一地…最后找到了源头,如下Kubernetes编译的各种发行版安装包来源于Github上的另一个叫release的项目,地址
使用kubeadm搭建高可用的K8s集群
11-03
使用kubeadm搭建高可用的K8s集群
kubeadm初始化k8s证书过期解决方案
05-23
本文将详细介绍如何解决kubeadm初始化k8s证书过期问题,并提供一种实用的方法来延长证书有效期。 #### 查看证书有效时间 首先,我们需要确定当前证书有效期。可以通过以下命令来查看证书的有效时间: ```...
docker部署rancher证书过期问题解决方案
04-24
总之,解决Rancher证书过期问题的关键在于理解证书生命周期管理,正确备份和替换过期证书,以及确保时间同步机制的正常运行。遵循上述步骤,你应该能有效地处理这个问题,恢复Rancher服务的正常运行。
Kubeadm 搭建集群20190802 终极版.pdf
08-06
Kubeadm 搭建集群 部署nginx 实验 部署 tomcat 实验 忘记token怎么加入k8s集群
Kubernetes集群搭建:基于Kubeadm
02-24
*K8S版本为15.1*Docker版本最高支持18.06.11,清除原Docker环境,原版本为最新版2,如果清除后依旧包冲突错误通过yum命令手动移除冲突包3,安装18.06.1版本Docker1,基础环境准备a,机器节点准备,虚拟机搭建,内存...
kubeadm、k8s集群环境简易搭建
10-01
unbuntu16.04环境,kubeadm搭建k8s集群脚本 参考文档如下 1.https://time.geekbang.org/column/article/39724 2.https://my.oschina.net/u/2306127/blog/1843053 3....
k8s证书过期处理方案
11-17
Kubernetes证书管理是集群...总的来说,处理Kubernetes证书过期问题需要对证书生命周期、kubeadm工具和kubeconfig文件有深入理解。定期检查和更新证书,配合有效的监控机制,能有效防止因证书问题引发的生产环境故障。
使用kubeadm搭建k8s集群v1.23.1
08-05
使用kubeadm搭建k8s生产环境集群v1.23.1
redis集群搭建教程及遇到的问题处理
01-02
这里,在一个Linux虚拟机上搭建6个节点的redis伪集群,思路很简单,一台虚拟机上开启6个redis实例,每个redis实例有自己的端口。这样的话,相当于模拟出了6台机器了,然后在以这6个实例组建redis集群就可以了。 前提...
持续集成系列----k8s证书过期问题处理(一年后踩坑)
ct1150的博客
08-29 2666
背景 突然收到Prometheus的报警,提示k8s证书过期只差七天,wtf?!黑人问号脸,查了下资料发现kubeadm安装的集群,默认的自签名证书有效期只有一年。。。要是没有告警,证书到期,集群停摆,业务崩盘,是不是直接可以走人了 解决方案 查看证书到期情况 find /etc/kubernetes/pki/ -type f -name "*.crt" -print|egrep -v 'ca....
k8s组件证书过期:Unable to connect to the server: x509: certificate has expired or is not yet valid
llg___的博客
11-28 1231
Unable to connect to the server: x509: certificate has expired or is not yet valid自己服务的pod重启后数量一直会为0。K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/pki 路径下,由 kubeadm 生成的客户端证书在 1 年后到期,因此需要定时更新证书,否则证书到期会导致整个集群不可用。今天遇到一个k8s证书过期问题,记录下解决方法。
k8s集群证书过期解决
weixin_45112997的博客
08-29 2466
k8s集群证书过期解决
kubeadm k8s 证书过期
09-09
您好!关于"Kubeadm K8s证书过期"的问题,您可以执行以下步骤来解决: 1. 查看证书过期状态: 运行以下命令检查证书过期时间: ```shell kubeadm alpha certs check-expiration ``` 如果证书即将过期或已经过期,您将看到相关的警告信息。 2. 更新证书: 要更新证书,您可以使用以下命令: ```shell kubeadm alpha certs renew all ``` 使用此命令将为所有证书生成新的有效期,并将其更新到Kubernetes集群中。 3. 重新启动kubelet: 使用以下命令重新启动kubelet服务以使更改生效: ```shell systemctl restart kubelet ``` 请注意,这些步骤假设您已经安装了kubeadmkubelet,并且您对Kubernetes集群有适当的访问权限。另外,务必在执行任何更改之前备份重要的配置文件和证书。如有必要,您可能还需要更新其他相关组件(如kube-proxy)的证书。 希望这些信息能够帮助您解决Kubeadm K8s证书过期问题!如果您需要进一步的帮助,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

店伙计

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值