kubeadm更新证书,基于k8s 1.24.2版本

已于 2022-07-28 10:08:25 修改
阅读量1k 收藏
点赞数
分类专栏: k8s 文章标签: kubernetes 容器 云原生
于 2022-07-28 09:56:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhsh000/article/details/126027543
版权

k8s 1.24.2版本 证书更新 kubeadm方式

#查看证书有效期
kubeadm certs check-expiration

在这里插入图片描述


#更新所有证书

kubeadm certs renew all  

#也可以指定更新指定证书
#但是kubeadm不能更新kubelet证书

在这里插入图片描述

证书更新完后重启对应组件
kubectl delete pod etcd-master -n kube-system
kubectl delete pod kube-apiserver-master -n kube-system
kubectl delete pod kube-controller-manager-master -n kube-system
kubectl delete pod kube-scheduler-master -n kube-system

修改config文件
cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
chown $(id -u):$(id -g) $HOME/.kube/config

kubelet证书在/var/lib/kubelet/pki下,一般由bootstrap滚动更新。但是会存在关闭rotation证书轮换后,不能自动更新的情况,需要手动更新。

手动更新kubelet证书

手动更新方法:

1. kubeadm init phase kubeconfig kubelet --node-name node2 --kubeconfig-dir /tmp/      生成配置文件
2. 修改配置文件中dns地址
3. 备份node节点/etc/kubenetes/kubelet.conf文件 和 /var/lib/kubelet/pki证书目录
4. scp新kubelet.conf文件到node节点/etc/kubenetes/目录
5. 重启node节点kubelet

官方文档

Kubelet client certificate rotation fails
By default, kubeadm configures a kubelet with automatic rotation of client certificates by using the /var/lib/kubelet/pki/kubelet-client-current.pem symlink specified in /etc/kubernetes/kubelet.conf. If this rotation process fails you might see errors such as x509: certificate has expired or is not yet valid in kube-apiserver logs. To fix the issue you must follow these steps:

Backup and delete /etc/kubernetes/kubelet.conf and /var/lib/kubelet/pki/kubelet-client* from the failed node.

From a working control plane node in the cluster that has /etc/kubernetes/pki/ca.key execute kubeadm kubeconfig user --org system:nodes --client-name system:node:$NODE > kubelet.conf. $NODE must be set to the name of the existing failed node in the cluster. Modify the resulted kubelet.conf manually to adjust the cluster name and server endpoint, or pass kubeconfig user --config (it accepts InitConfiguration). If your cluster does not have the ca.key you must sign the embedded certificates in the kubelet.conf externally.

Copy this resulted kubelet.conf to /etc/kubernetes/kubelet.conf on the failed node.

Restart the kubelet (systemctl restart kubelet) on the failed node and wait for /var/lib/kubelet/pki/kubelet-client-current.pem to be recreated.

Manually edit the kubelet.conf to point to the rotated kubelet client certificates, by replacing client-certificate-data and client-key-data with:

client-certificate: /var/lib/kubelet/pki/kubelet-client-current.pem
client-key: /var/lib/kubelet/pki/kubelet-client-current.pem
Restart the kubelet.

Make sure the node becomes Ready.

请注意

官方文中kubeadm kubeconfig user命令需要指定kubeadm-config文件。可以生成默认配置文件后修改

kubeadm config print init-defaults > init-defaults.yaml
kubeadm kubeconfig user --org system:nodes --client-name system:node:node2 --config=init-defaults.yaml > kubelet.conf

所以用 kubeadm init phase kubeconfig kubelet --node-name node2 --kubeconfig-dir /tmp/ 直接生成kubelet配置文件的方式更简便

zhsh123321
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
kubeadm初始化k8s证书过期解决方案
05-23
### kubeadm初始化k8s证书过期解决方案 #### 概述 Kubernetes(简称k8s)作为当前主流的容器编排工具之一,在实际部署过程中常常采用kubeadm进行快速部署与管理。然而,在长期运行的过程中,kubeadm初始化时生成的...
Kubeadm生成的k8s证书内容说明
05-22
### Kubeadm生成的k8s证书内容说明 #### 一、概述 Kubeadm是一种简化Kubernetes集群部署过程的工具,它能够自动化完成Kubernetes集群的搭建工作。在Kubeadm部署过程中,会生成一系列用于保障Kubernetes集群安全性...
kubernetes集群更新证书kubeadm方式)
rendongxingzhe的博客
04-24 3859
一.kubernets证书详情 1.查看证书 tree /etc/kubernetes/pki/ 正在上传…重新上传取消 2.各个证书过期时间 /etc/kubernetes/pki/apiserver.crt #1年有效期 /etc/kubernetes/pki/front-proxy-ca.crt #10年有效期 /etc/kubernetes/pki/ca.crt #10年有效期 /etc
kubeadm 更新证书
liulu07的博客
07-22 189
k8s 证书更新记录
k8skubelet证书时间过期升级
最新发布
red_sky_blue的专栏
06-13 619
k8s 证书过期,kubeadm方式更新证书
kubeadm更新证书(1.23.4版本
运维那些事儿
04-14 3655
1、查看证书到期时间 kubeadm certs check-expiration 1.1、输出如下内容 [root@master pki]# kubeadm certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get c
kubeadm更新证书(生产高可用版本k8s
Timmy的博客
02-28 1433
背景:kubeadm生成的k8s证书默认一年有效期,所以到期后需要进行更新 思路: 1、检查证书是否过期 2、执行更新 3、重启相关应用 1、检查证书是否过期 kubeadm alpha certs check-expiration 2、执行更新 kubeadm alpha certs renew ...
K8Skubeadm版)更新证书
ArrogantB的博客
03-18 1762
k8s证书过期更换,kubeadm方式更换证书
kubeadm部署高可用K8S集群v1.21
02-21
kubeadm部署高可用K8S集群v1.21 KubernetesK8S)是一种容器编排系统,可以自动化容器的部署、扩展和管理。KubeadmKubernetes的自动化部署工具,可以快速部署高可用性Kubernetes集群。下面是kubeadm部署高可用K8...
kubeadm初始化k8s集群延长证书过期时间.bash
06-01
kubeadm初始化k8s集群延长证书过期时间
k8s-kubeadm离线安装包
04-30
在这个“k8s-kubeadm离线安装包”中,包含了kubeadmkubelet和kubectl这三个核心组件,它们是搭建和管理Kubernetes集群的基础。 1. **kubeadm**:kubeadmKubernetes的命令行工具,主要用于设置和管理Kubernetes...
kubeadmin部署的K8s集群证书更新方案
weixin_45912745的博客
02-11 1096
kubeadmin部署的K8s集群证书更新方案
k8s- kubernetes证书过期替换之kubeadm命令 certs renew all方式
liuyij3430448的博客
04-27 5876
**k8s集群之间的访问会使用到证书,如果使用kubeadm搭建的集群,默认CA证书的有效期为10年,其他组件访问证书的有效期为1年。如果过期后没有更新证书可能会引起k8s集群的不可用**
Kubernetes集群更换证书(正常更新方法、和更新证书为99年)
m0_59308369的博客
12-14 6711
今天使用k8s集群发现报错。查看kubelet状态,发现无法启动, 查看docker服务,发现api-server也没用启动enabled;3s ago查看日志 ,发现报错找不到 bootstrap-kubelet.conf。
kubeadm + containerd 部署 k8s-v1.23.3(含证书升级)
以梦为马|越骑越傻
02-17 4539
文章目录前言环境准备答应我,所有节点都要关闭防火墙答应我,所有节点都要关闭selinux答应我,所有节点都要关闭swap答应我,所有节点都要开启内核模块答应我,所有节点都要开启模块自动加载服务答应我,所有节点都要做内核优化答应我,所有节点都要清空 iptables 规则安装 containerd配置 kubernetes 源安装 kubeadm 以及 kubelet配置命令参数自动补全功能启动 kubelet 服务kubeadm 部署 master 节点安装 flannel 组件work 节点加入集群mas
kubernetes(1.23)证书过期如何续期
老段工作室
04-27 2608
通过kubeadm安装的kubernetes集群各个组件所使用证书的期限为1年,本实验练习的是到期之后如何续期。
云原生|kubernetes|kubernetes集群升级+证书更新(Ubuntu-18.04+kubeadm
zsk_john的技术分享专用博客
12-13 5668
一般情况下,不管是kubernetes集群还是什么其它的集群,还是什么tomcat,什么elasticsearch,ssh等等各类软件,当然也包括各个操作系统,比如centos7.Ubuntu,debian等等所有软件类,规避各种各样的安全漏洞基本都是通过升级版本的方式来完成的。 多说一句,在软件制作者的角度来说,升级软件版本的动力一个是安全漏洞的压力,一个是更多的,更 新的功能以及更美观的软件界面。在软件使用者的角度来说,升级软件版本的动力第一个是安全漏洞,其次才是更 新的功能,最后才是美观的软件界
kubeadm更新证书及配置
Happywzy~的博客
12-09 1890
问题 通过 kubeadm部署k8s,默认生成的证书有效期是一年.需要每年更新证书. 查看证书有效期 kubeadm alpha certs check-expiration 更新证书 kubeadm alpha certs renew all 通过crontab定时更新证书 0 0 15 10 * kubeadm alpha certs renew all 证书过期kubectl命令无法使用 # 更新客户端配置 sudo cp -i /etc/kubernetes/admin.conf $HOME/
Kubernetes 证书可用年限修改
engchina的专栏
09-14 164
Step1. 确认现在证书的可用年限 sudo su - cd /etc/kubernetes/pki openssl -x509 -in apiserver.crt -text -noout Step2. 下载安装go wget https://golang.org/dl/go1.15.2.linux-amd64.tar.gz tar -C /usr/local -xzf go1.15.2.linux-amd64.tar.gz export PATH=$PATH:/usr/local/go/bi
基于K8s 1.8.3版本的集群搭建指南
K8s集群搭建手册(超级详细) Kubernetes(简称K8s)是一种开源容器编排系统,可以自动化部署、扩展和管理容器化应用程序。以下是K8s集群搭建手册的详细步骤。 环境准备 在开始搭建K8s集群之前,需要准备好服务器...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值