[k8s]二进制部署k8s 更换etcd证书(100年有效期)

于 2024-04-16 11:21:31 发布
阅读量250 收藏
点赞数 4
分类专栏: k8s 文章标签: kubernetes etcd 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyq2272/article/details/137816989
版权

之前的部署:二进制部署k8s etcd

更换etcd证书

  • 停止etcd
#先停从再停主
systemctl stop etcd
  • 生成新证书
创建新目录
cd /opt/etcd/ssl/ && mkdir new
cd new/
自签CA
cat > ca-config.json << EOF
{
  "signing": {
    "default": {
      "expiry": "876000h"
    },
    "profiles": {
      "www": {
         "expiry": "876000h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}
EOF

cat > ca-csr.json << EOF
{
    "CN": "etcd CA",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Beijing",
            "ST": "Beijing"
        }
    ],
    "ca": {
      "expiry": "876000h"
    }
}
EOF

# 生成证书:会生成ca.pem和ca-key.pem文件
cfssl gencert -initca ca-csr.json | cfssljson -bare ca -
使用自签CA签发Etcd Https证书
# 创建证书请求文件
cat > server-csr.json << EOF
{
    "CN": "etcd",
    "hosts": [
    "10.255.32.21",
    "10.255.32.22",
    "10.255.32.23"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing"
        }
    ]
}
EOF

#生成证书:会生成 server-key.pem 和server.pem文件
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server
  • 备份原证书
cd /opt/etcd/ssl/ && mkdir bak
mv *.pem bak/
  • 更新证书
cd /opt/etcd/ssl/ && cp new/*.pem .
  • 启动etcd
#先启主再启从
systemctl start etcd
  • 重启kube-apiserver
systemctl restart kube-paiserver
Logout:
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
kubeadm证书/etcd证书过期处理
小啊宇的博客
10-14 2232
今天突然测试环境的Kubernetes 持续集成/持续发布出了问题了,然后上测试环境服务器排查,发现kubectl指令执行出现问题, Unable to connect to the server: x509: certificate has expired or is not yet valid 然后翻译了一下提示证书已过期,网上查了下资料,说是:kubernetes的apiServer 与kubelet的访问授权证书是一,官方的解释是:通过这种方式,让用户不断的升级版本。给出的解决方案有以下几种:
Kubernetes 证书一键生成(包含 etcd 证书)
04-30
执行证书后,可以根据配置文件一键生成 Kubernetes证书etcd 证书,可以免去手动生成,资源包括配置文件,与Linux可执行文件
超详细,K8S二进制单节点Master部署,值得一看
一个不愿透露姓名的金先生
08-11 465
K8S二进制部署一、部署单节点master集群1、环境准备2、部署etcd集群在master节点上操作在node节点查看二、Flannel网络部署1、部署docker所有node节点部署docker 一、部署单节点master集群 1、环境准备 k8s集群master01:192.168.22.100 k8s集群node01:192.168.22.110 k8s集群node02:12.168.22.119 etcd集群节点1:192.168.22.100 etcd集群节点2:192.168.22.110
k8s二进制部署(一)---单节点部署
HB199753的博客
12-17 1243
一、环境准备 服务器 主机名 IP地址 主要组件 k8s集群master01 + etcd01 master01 192.168.61.17 kube-apiserver kube-controller-manager kube-schedular etcd k8s集群node01 + etcd02 node01 192.168.61.18 kubelet kube-proxy docker flannel k8s集群node02 +
k8s二进制及负载均衡集群部署详解
最新发布
qq_51545656的博客
02-01 1478
然后,使用 cfssl 工具根据 ca.pem、ca-key.pem、ca-config.json 和 kube-proxy-csr.json 文件生成 kube-proxy 的证书和私钥,命名为 kube-proxy.pem 和 kube-proxy-key.pem。然后,使用 cfssl 工具根据 ca.pem、ca-key.pem、ca-config.json 和 admin-csr.json 文件生成 admin 的证书和私钥,命名为 admin.pem 和 admin-key.pem。
编译kubeadm使生成证书有效期100
janbar的博客
07-11 679
目录问题编译检查结果问题 当我使用kubeadm部署成功k8s集群时在想默认生成的证书有效期是多久,如下所示 /etc/kubernetes/pki/apiserver.crt #1有效期 /etc/kubernetes/pki/front-proxy-ca.crt #10有效期 /etc/kubernetes/pki/ca.crt ...
K8S二进制部署之定义CA证书ETCD
l17605229954的博客
11-01 565
1、 服务器单向认证:只需要服务器端提供证书,客户端通过服务器端证书验证服务的身份,但服务器并不验证客户端的身份。④ 客户端私钥:客户端证书中包含的公钥所对应的私钥,同理,客户端使用该私钥来向服务器端证明自己是客户端证书的拥有者。⑤ 服务器端 CA 根证书:签发服务器端证书的 CA 根证书,客户端使用该 CA 根证书来验证服务器端证书的合法性。⑥ 客户端端 CA 根证书:签发客户端证书的 CA 根证书,服务器端使用该 CA 根证书来验证客户端证书的合法性。
升级K8S1.18.20证书有效期100
在我的博客中,你将看到我对生活的热爱,对知识的渴望,以及对创新的追求。我会分享我在各个领域的思考和发现,我的目标是创造一个充满活力、启迪心灵的交流平台,让每一个访问者都能从中获得新的观点和启示。
08-24 404
K8S集群有证书的概念,之前一直是使用默认的,默认都是1和10的,1有效期这显然对于生产环境是不合适的,于是调整K8S证书,升级K8S证书有效期100。kubeadm文件链接:https://pan.baidu.com/s/19ONnQS4vaJ1Lc-9Amh_RAA?3、上传kubeadm文件到/usr/bin(如是3节点master集群,三台都需替换)4、更新证书(如是3节点master集群,三台都需替换)1、检查当前集群证书有效期。2、备份原有的配置文件。
升级K8S证书有效期100操作说明
数通畅联
01-21 3934
之前K8S集群默认使用1期限,现在已不能满足实际需要,需要升级K8S证书有效期100。本文针对升级k8S证书有效期100的操作进行说明讲解。
k8s二进制安装—kubelet证书过期
屈帅波的技术博客
12-25 2087
一.第一种解决方法 1.修改kube-controller-manager.service添加或者修改如下内容 –experimental-cluster-signing-duration=87600h \ 然后执行以下命令重启kube-controller-manager systemctl daemon-reload systemctl restart kube-controller-...
k8s 二进制部署 .pdf
12-08
部署需六台机器 版本介绍 1、master 两台 2、node 两台 3、nginx+keeplived 两台 版本: K8S V1.18.15 ETCD v3.4.10 nginx-1.15.3.tar.gz keepalived-2.0.16.tar.gz docker-19.03.9.tar.gz
二进制部署k8s高可用集群(二进制-V1.20).docx
06-29
说明:二进制部署k8s高可用集群,内容真实有效!
k8s二进制文件以及docker二进制文件
03-09
k8s-master 192.168.250.111 k8s-node01 192.168.250.112 k8s-node02 192.168.250.116 2.设置主机名 hostnamectl --static set-hostname k8s-master hostnamectl --static set-hostname k8s-node01 ...
二进制高可用k8s集群一键部署脚本
04-02
根据阿良的二进制部署文档编写的,安装步骤请看readme.txt,给想学习k8s的小伙伴节省更多的搭建集群的时间,不懂的可以直接给我留言,欢迎大家一起讨论
Ubuntu20.04基于containerd二进制部署K8S 1.25.14集群资源合集
09-21
原文链接:https://blog.csdn.net/m0_37814112/article/details/133043606
kubernetes,ETCD灾备恢复,重新生成证书,重新生成配置文件
qq_22648091的博客
08-08 1668
备份原来的证书帮助信息生成新的证书
k8s集群证书过期处理,更新kubeadm生成的证书有效期为10
隔壁老瓦的专栏
05-08 5547
该脚本用于处理已过期或者即将过期的kubernetes集群证书 kubeadm生成的证书有效期为为1,该脚本可将kubeadm生成的证书有效期更新为10 该脚本只处理master节点上的证书:kubeadm默认配置了kubelet证书自动更新,node节点kubelet.conf所指向的证书会自动更新 小于v1.17版本的master初始化节点(执行kubeadm init的节点) ku...
阿里云ACK的etcd证书过期手工升级操作
rendongxingzhe的博客
07-21 618
阿里云ack的etcd账户更新轮换
k8s二进制部署需要联网吗
10-26
k8sKubernetes)是一个用于容器编排和管理的开源平台。在二进制部署k8s时,通常需要通过联网来下载和安装必要的软件和组件。 首先,k8s二进制部署需要下载官方提供的k8s二进制文件和相关的组件。通过联网可以方便地从官方网站或镜像源下载这些文件。这些二进制文件和组件包括kube-apiserver、kube-controller-manager、kube-scheduler、kube-proxy和kubelet等,这些组件构成了k8s的核心功能。 其次,在二进制部署过程中,还需要下载和安装一些软件依赖,如Docker、Etcd等。这些软件依赖可以通过联网从官方网站或软件源下载和安装。例如,Docker是一个用于容器化应用的开源项目,它用于k8s中的容器运行时环境。 此外,k8s二进制部署还需要下载和配置一些网络插件,如Flannel、Calico等,用于实现容器之间的网络通信和网络隔离。这些网络插件通常需要联网下载和安装,或者从本地网络中获取到所需的软件包。 因此,综上所述,k8s二进制部署通常需要联网。联网可以方便地下载和安装k8s二进制文件、组件、软件依赖和网络插件,保证在部署过程中能够正常获取所需的软件和资源。然而,在一些特殊情况下,如果已经从其他渠道获取了所需的文件和组件,也可以在无网络环境中进行离线部署

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值