k8s master节点更换ip 重签证书

已于 2023-09-18 10:01:35 修改
阅读量2.2k 收藏 11
点赞数 2
分类专栏: # Kubernetes 文章标签: kubernetes docker 容器
于 2022-09-16 16:24:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zfw_666666/article/details/126892220
版权

一、开始

证书的修改,必须要 apiserver 服务可用

旧IP:

k8s-master10.0.0.5
k8s-node-110.0.0.6
k8s-node-210.0.0.7

新IP: 

k8s-master10.0.0.10
k8s-node-110.0.0.11
k8s-node-210.0.0.12

修改/etc/hosts解析(所有节点):

vim /etc/hosts

k8s-master 10.0.0.10
k8s-node-1 10.0.0.11
k8s-node-2 10.0.0.12

二、备份 kubernetes 目录

cp -r /etc/kubernetes{,-bak}

三、查看证书内的 ip

for i in $(find /etc/kubernetes/pki -type f -name "*.crt");do echo ${i} && openssl x509 -in ${i} -text | grep 'Address'

可以看到,只有 apiserver 和 etcd 的证书里面是包含了 ip 的

/etc/kubernetes/pki/ca.crt
/etc/kubernetes/pki/front-proxy-ca.crt
/etc/kubernetes/pki/etcd/ca.crt
/etc/kubernetes/pki/etcd/server.crt
                DNS:k8s-master, DNS:localhost, IP Address:10.0.0.1, IP Address:127.0.0.1, IP Address:0:0:0:0:0:0:0:1
/etc/kubernetes/pki/etcd/healthcheck-client.crt
/etc/kubernetes/pki/etcd/peer.crt
                DNS:k8s-master, DNS:localhost, IP Address:10.0.0.1, IP Address:127.0.0.1, IP Address:0:0:0:0:0:0:0:1
/etc/kubernetes/pki/apiserver.crt
                DNS:k8s-master, DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster.local, DNS:lb-vip, IP Address:10.96.0.1, IP Address:10.0.0.1
/etc/kubernetes/pki/apiserver-kubelet-client.crt
/etc/kubernetes/pki/front-proxy-client.crt
/etc/kubernetes/pki/apiserver-etcd-client.crt

四、生成集群配置

kubeadm config view > /root/kubeadm.yaml

更换IP:

vim kubeadm.yaml

apiServer:
  extraArgs:
    authorization-mode: Node,RBAC
  timeoutForControlPlane: 4m0s
  # 增加下面的配置
  certSANs:
  - 10.0.0.10
  # 增加上面的配置
apiVersion: kubeadm.k8s.io/v1beta2
certificatesDir: /etc/kubernetes/pki
clusterName: kubernetes
controlPlaneEndpoint: lb-vip:6443
controllerManager: {}
dns:
  type: CoreDNS
etcd:
  local:
    dataDir: /var/lib/etcd
    # 增加下面的配置
    serverCertSANs:
    - 10.0.0.10
    peerCertSANs:
    - 10.0.0.10
    # 增加上面的配置
imageRepository: registry.aliyuncs.com/google_containers
kind: ClusterConfiguration
kubernetesVersion: v1.17.3
networking:
  dnsDomain: cluster.local
  podSubnet: 172.10.0.0/16
  serviceSubnet: 10.96.0.0/12
scheduler: {}

五、删除原有的证书

需要保留 ca ,sa,front-proxy 这三个证书

rm -rf /etc/kubernetes/pki/{apiserver*,front-proxy-client*}
rm -rf /etc/kubernetes/pki/etcd/{healthcheck*,peer*,server*}

六、重新生成证书

kubeadm init phase certs all --config /root/kubeadm.yaml

再次查看证书内的 ip

for i in $(find /etc/kubernetes/pki -type f -name "*.crt");do echo ${i} && openssl x509 -in ${i} -text | grep 'DNS:';done

/etc/kubernetes/pki/etcd/ca.crt
/etc/kubernetes/pki/etcd/server.crt
                DNS:k8s-master, DNS:localhost, IP Address:10.0.0.10, IP Address:127.0.0.1, 
/etc/kubernetes/pki/etcd/peer.crt
                DNS:k8s-master, DNS:localhost, IP Address:10.0.0.10, IP Address:127.0.0.1, 
/etc/kubernetes/pki/etcd/healthcheck-client.crt
/etc/kubernetes/pki/ca.crt
/etc/kubernetes/pki/front-proxy-ca.crt
/etc/kubernetes/pki/apiserver.crt
                DNS:k8s-master, DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster.local, DNS:lb-vip, IP Address:10.96.0.1, IP Address:10.0.0.10
/etc/kubernetes/pki/apiserver-kubelet-client.crt
/etc/kubernetes/pki/front-proxy-client.crt
/etc/kubernetes/pki/apiserver-etcd-client.crt

七、将配置更新到 configmap 中

这样,以后有升级,或者增加其他 ip 时,也会将配置的 CertSANs 的 ip 保留下来,方便以后删减

kubeadm init phase upload-config kubeadm --config kubeadm.yaml

八、检查

# 检查kubeadm.config配置的ip是否为新节点IP

kubectl get cm -A|grep kubeadm
kubectl get cm -A kubeadm-config -o yaml

#检查所有容器健康状态

kubectl get pod -A

node节点IP更换,证书会自动重新签发

CN-FuWei
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 9
    评论
专栏目录
k8s集群更换ip地址(单master)
wana19881025的博客
01-12 4452
k8smaster集群更换Ip操作
k8s更换IP
我是小bā吖的博客
02-10 1044
更换节点IP
k8s 节点ip改变
最新发布
cnzzs的博客
07-24 264
动一下小手点一下赞。谢谢! 你的赞就是我更新的动力。k8s 节点IP改变指的是在Kubernetes集群中,当节点(Node)的IP地址发生变化时,需要相应地更新集群中关于该节点的相关配置信息,以确保集群的正常运行。下面我将向你介绍如何实现 k8s 节点IP改变的步骤及相应的代码示例。步骤如下:更新节点IP地址:首先,我...
k8s更换ip
shelutai的博客
02-07 6738
k8smaster更换ip后,通信问题出现了问题,我们只需要通过kubeadm init phase命令,新生成config文件和签名文件就可以了。操作如下: 一,切换到/etc/kubernetes/manifests, 将etcd.yaml kube-apiserver.yaml里的ip地址替换为新的ip /etc/kubernetes/manifests # vim etcd.yaml /etc/kubernetes/manifests # vim kube-apiserver.yaml 二,
k8s修改集群IP--不置集群
epmgy315的博客
10-09 1281
正常在用集群想要更换ip master 节点ip192.168.10.138 改为192.168.10.148 node1节点ip192.168.10.139 改为192.168.10.149 node2节点ip192.168.10.140 改为192.168.10.150 master 节点 1)执行脚本1233.sh 1233.sh 内容如下: # master 节点 export ol...
Kubeadm安装K8Smaster节点集群
05-24
### Kubeadm安装K8SMaster节点集群详解 #### 一、集群环境规划与配置 根据提供的文档信息,我们了解到本次安装的目标是构建一个基于Kubeadm的Kubernetes (K8S) 单Master节点集群。该集群的具体规划如下: - **...
k8s,盘他!k8smaster节点使用二进制部署实操
01-09
文章目录前言一:k8s二进制方式多节点部署1.1:环境介绍1.2:master02节点操作1.2:nginx负载均衡集群部署谢谢赏阅!如有疑问可评论区交流! 前言 一:k8s二进制方式多节点部署 要先部署单节点集群,可查阅博客...
3-k8s部署之Master节点1
08-08
在部署 Kubernetes (k8s) 集群时,Master 节点是集群的核心组成部分,负责调度、管理和监控整个集群。在这个过程中,`kubeadm` 是一个用于初始化和管理 Kubernetes 集群的工具,使得部署过程更加简化。在本文中,...
部署一套单MasterK8s集群(kubeadm-V1.21)
05-09
* kubeadm init:初始化一个Master节点 * kubeadm join:将工作节点加入集群 * kubeadm upgrade:升级K8s版本 * kubeadm token:管理kubeadm join使用的令牌 * kubeadm reset:清空kubeadm init或者kubeadm join对...
kubernetes K8S超详细安装部署手册
02-02
- **配置Master节点**:根据实际需求配置Master节点的相关参数,例如API Server、Etcd等组件的配置。 - **启动Master服务**:通过执行相应的命令,启动Master节点上的各项服务,确保其正常运行。 #### 四、添加Node...
K8S集群的node ip变更
jacksonlee313的博客
08-22 1631
K8s 集群IP变更
K8s主机IP地址变更集群恢复
qq_43571324的博客
12-11 1501
k8s主机IP变更集群恢复
k8s集群换ip
weixin_48673014的博客
09-13 1189
k8s集群更换ip
K8s集群IP地址变更
tun456的博客
04-10 598
IPADDR1=192.168.0.86 ##原IP地址。PREFIX1=16 ###不同网段,添加路由转发。查看网卡信息是否有新的IP地址和原IP地址。可以看到当前使用的网卡。验证IP地址是否生效。在进行相互ping。
k8s master 节点修改 ip 地址后,calico 提示:Get _http url__ x509_ certificate is valid for xxx, not xxx
甘蓝的专栏
01-05 428
提供k8s修改master ip后,calico提示证无效的排查思路
k8s集群修改apiserver的ip地址
fengchengwu2012的博客
06-02 584
有时候由于服务器的调整,导致ip的的变化,k8s集群的api大管家的ip变动会导致kubectl的接口都无法正常使用,这是只需要将k8s节点配置文件的ip替换即可。例如无需要将原来的192.168.146.202的ip替换成192.168.85.202,执行一下操作即可。启apiserver。
k8s更改master节点IP
知本知至的博客
06-04 942
搭建集群的同事未规划网络,导致其中有一台master ip是192.168.7.173,和其他集群节点IP192.168.0.x或192.168.1.x相隔太远,现在需要对网络做整改,方便管理配置诸如绑定限速等操作。解决:在活着的master上更改kube-system ns下的kubeadm-config这个cm。使用etcdctl命令将要更改IPmaster节点踢出集群。master节点是3节点的。
添加公网 IPkubernetes 的 apiserver
weixin_44070095的博客
06-27 2419
通过公网地址访问kubernetes的apiserver
k8s怎么添加两个master节点详细步骤及解析
03-28
Kubernetesk8s)是一个用于自动化部署、扩展和管理容器化应用程序的开源平台。在k8s集群中,有一个主节点master node)和多个工作节点(worker node)。主节点负责管理集群中的资源和进行调度决策,而工作节点则负责运行应用程序容器。 在k8s集群中添加多个主节点可以提高集群的可靠性和容错能力。如果某个主节点出现故障,其他主节点可以继续正常工作,确保集群的稳定性和可用性。 下面是详细的步骤和解析,以添加两个主节点为例: 1. 准备环境 确保每个新的主节点都可以访问k8s集群,并且已安装了所需的软件包和依赖项。需要确保主节点上的kubeadm、kubelet、kubectl、容器运行时(如Docker或CRI-O)等软件版本与其他节点相同。 2. 初始化第一个主节点 在集群中选择一个现有的主节点来初始化第一个新主节点。可以使用kubeadm init命令将新主节点纳入集群。 示例命令: ``` $ kubeadm init --control-plane-endpoint=LOAD_BALANCER_DNS_OR_IP --upload-certs ``` 其中,LOAD_BALANCER_DNS_OR_IP是负载均衡器的DNS或IP地址,用于将流量分配到多个主节点。--upload-certs选项将证上传到新的主节点,以确保其可以加入现有的控制平面。 3. 加入第二个主节点 使用kubeadm join命令将第二个主节点加入集群。要注意的是,需要指定新的主节点的API服务器地址和证,以便其可以连接到集群。 示例命令: ``` $ kubeadm join LOAD_BALANCER_DNS_OR_IP --token TOKEN --discovery-token-ca-cert-hash SHA256:HASH --control-plane --certificate-key CERTIFICATE_KEY ``` 其中,TOKEN是由第一个主节点生成的加入令牌,HASH是由第一个主节点生成的CA证哈希值,CERTIFICATE_KEY是第一个主节点生成的证密钥。 4. 初始化第二个主节点 在第二个主节点上执行与第一个主节点相同的命令,初始化第二个主节点并加入集群。 示例命令: ``` $ kubeadm init --control-plane-endpoint=LOAD_BALANCER_DNS_OR_IP --upload-certs ``` 5. 验证集群状态 使用kubectl命令验证集群状态,确保所有节点都已成功加入集群。可以使用以下命令查看节点状态: ``` $ kubectl get nodes ``` 6. 完成 现在,k8s集群已添加两个主节点,并且可以更好地扩展和管理容器化应用程序。 解析: 添加多个主节点可以提高k8s集群的可靠性和容错能力。多个主节点可以共同管理集群中的资源和进行调度决策,从而确保集群的稳定性和可用性。 在添加新的主节点之前,需要确保每个新的主节点都可以访问k8s集群,并且已安装了所需的软件包和依赖项。需要确保主节点上的kubeadm、kubelet、kubectl、容器运行时(如Docker或CRI-O)等软件版本与其他节点相同。 在添加新的主节点时,需要指定API服务器地址和证,以便新的主节点可以连接到集群。如果使用负载均衡器将流量分配到多个主节点,需要确保所有主节点的负载均衡器地址相同。 添加多个主节点后,需要使用kubectl命令验证集群状态,确保所有节点都已成功加入集群。可以使用kubectl get nodes命令查看节点状态。 总的来说,添加多个主节点可以提高k8s集群的可靠性和容错能力,使其更适合运行生产环境中的容器化应用程序。
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CN-FuWei

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值