Kubeadm 证书过期处理

以下内容参考了如下链接:https://www.cnblogs.com/skymyyang/p/11093686.html

一、处理证书已过期的集群

使用 kubeadm 搭建的集群,默认证书有效期是 1 年。如果没有在证书过期前续期,那么集群会无法运行,使用的过程中会报如下错误:

x509: certificate has expired or is not yet valid.

查看当前 kubeadm 搭建的集群证书有效期信息,命令如下:

  1. [@master74-53 ~]#  for i in /etc/kubernetes/pki/*.crt;do echo $i; openssl x509 -in $i -text -noout|egrep "Not Before|Not After";echo "-----------";done
  2. /etc/kubernetes/pki/apiserver.crt
  3.             Not Before: Oct 24 03:10:01 2019 GMT
  4.             Not After : Oct 23 03:10:01 2020 GMT
  5. -----------
  6. /etc/kubernetes/pki/apiserver-etcd-client.crt
  7.             Not Before: Oct 24 03:10:03 2019 GMT
  8.             Not After : Oct 23 03:10:04 2020 GMT
  9. -----------
  10. /etc/kubernetes/pki/apiserver-kubelet-client.crt
  11.             Not Before: Oct 24 03:10:01 2019 GMT
  12.             Not After : Oct 23 03:10:02 2020 GMT
  13. -----------
  14. /etc/kubernetes/pki/ca.crt
  15.             Not Before: Oct 24 03:10:01 2019 GMT
  16.             Not After : Oct 21 03:10:01 2029 GMT
  17. -----------
  18. /etc/kubernetes/pki/front-proxy-ca.crt
  19.             Not Before: Oct 24 03:10:02 2019 GMT
  20.             Not After : Oct 21 03:10:02 2029 GMT
  21. -----------
  22. /etc/kubernetes/pki/front-proxy-client.crt
  23.             Not Before: Oct 24 03:10:02 2019 GMT
  24.             Not After : Oct 23 03:10:03 2020 GMT
  25. -----------

可以看到证书的有效期是截止到 2020 年 10 月份,在证书过期后,使用如下步骤进行处理。

1. 针对 kubeadm 1.13.x 及以上版本

首先在服务器上创建一个 kubeadm.yaml 的文件,内容如下:

  1. apiVersion: kubeadm.k8s.io/v1beta1
  2. kind: ClusterConfiguration
  3. kubernetesVersion: v1.16.2 				# 这里修改成集群对应的版本
  4. imageRepository: registry.cn-hangzhou.aliyuncs.com/google_containers
  5. #这里使用国内的镜像仓库,否则在重新签发的时候会报错:could not fetch a Kubernetes version from the internet: unable to get URL "https://dl.k8s.io/release/stable-1.txt"

将 /etc/kubernetes/pki 中的证书文件进行备份,然后使用如下命令重新生成证书:

  1. [@master74-53 /opt]# kubeadm alpha certs renew all --config=/opt/kubeadm.yaml
  2. certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself renewed
  3. certificate for serving the Kubernetes API renewed
  4. certificate the apiserver uses to access etcd renewed
  5. certificate for the API server to connect to kubelet renewed
  6. certificate embedded in the kubeconfig file for the controller manager to use renewed
  7. certificate for liveness probes to healthcheck etcd renewed
  8. certificate for etcd nodes to communicate with each other renewed
  9. certificate for serving etcd renewed
  10. certificate for the front proxy client renewed
  11. certificate embedded in the kubeconfig file for the scheduler manager to use renewed

运行命令后后重新生成如下证书文件:

  1. #-- /etc/kubernetes/pki/apiserver.key
  2. #-- /etc/kubernetes/pki/apiserver.crt
  4. #-- /etc/kubernetes/pki/apiserver-etcd-client.key
  5. #-- /etc/kubernetes/pki/apiserver-etcd-client.crt
  7. #-- /etc/kubernetes/pki/apiserver-kubelet-client.key
  8. #-- /etc/kubernetes/pki/apiserver-kubelet-client.crt
  10. #-- /etc/kubernetes/pki/front-proxy-client.key
  11. #-- /etc/kubernetes/pki/front-proxy-client.crt
  13. #-- /etc/kubernetes/pki/etcd/healthcheck-client.key
  14. #-- /etc/kubernetes/pki/etcd/healthcheck-client.crt
  16. #-- /etc/kubernetes/pki/etcd/peer.key
  17. #-- /etc/kubernetes/pki/etcd/peer.crt
  19. #-- /etc/kubernetes/pki/etcd/server.key
  20. #-- /etc/kubernetes/pki/etcd/server.crt

查看新生成的证书有效期:

  1. [@master74-53 /opt]#  for i in /etc/kubernetes/pki/*.crt;do echo $i; openssl x509 -in $i -text -noout|egrep "Not Before|Not After";echo "-----------";done
  2. /etc/kubernetes/pki/apiserver.crt
  3.             Not Before: Oct 24 03:10:01 2019 GMT
  4.             Not After : Oct 26 06:41:43 2021 GMT
  5. -----------
  6. /etc/kubernetes/pki/apiserver-etcd-client.crt
  7.             Not Before: Oct 24 03:10:03 2019 GMT
  8.             Not After : Oct 26 06:41:44 2021 GMT
  9. -----------
  10. /etc/kubernetes/pki/apiserver-kubelet-client.crt
  11.             Not Before: Oct 24 03:10:01 2019 GMT
  12.             Not After : Oct 26 06:41:44 2021 GMT
  13. -----------
  14. /etc/kubernetes/pki/ca.crt
  15.             Not Before: Oct 24 03:10:01 2019 GMT
  16.             Not After : Oct 21 03:10:01 2029 GMT
  17. -----------
  18. /etc/kubernetes/pki/front-proxy-ca.crt
  19.             Not Before: Oct 24 03:10:02 2019 GMT
  20.             Not After : Oct 21 03:10:02 2029 GMT
  21. -----------
  22. /etc/kubernetes/pki/front-proxy-client.crt
  23.             Not Before: Oct 24 03:10:02 2019 GMT
  24.             Not After : Oct 26 06:41:46 2021 GMT
  25. -----------

使用如下命令重新生成 kubeconfig 文件,否则 kubectl 将无法使用:

  1. kubeadm init phase kubeconfig all

然后将新生成的文件拷贝到 ${HOME}/.kube 目录下并重命名为 config

  1. cp -pr /etc/kubernetes/admin.conf /root/.kube/config

重启 apiserver、kube-controller、kube-scheduler、etcd 容器即可。

如何处理 Kubeadm 搭建的集群证书过期问题的更多相关文章

  1. k8s集群证书过期(kubeadm 1.10.2 )

    1.k8s 集群架构描述 kubeadm v1.10.2创建k8s集群. master节点高可用,三节点(10.18.60.3.10.18.60.4.10.18.60.5). LVS实现master三 ...

  2. kubeadm搭建K8s集群及Pod初体验

    基于Kubeadm 搭建K8s集群: 通过上一篇博客,我们已经基本了解了 k8s 的基本概念,也许你现在还是有些模糊,说真的我也是很模糊的.只有不断地操作去熟练,强化自己对他的认知,才能提升境界. 我 ...

  3. kubeadm搭建kubernetes集群之三:加入node节点

    在上一章<kubeadm搭建kubernetes集群之二:创建master节点>的实战中,我们把kubernetes的master节点搭建好了,本章我们将加入node节点,使得整个环境可以 ...

  4. kubeadm搭建kubernetes集群之二:创建master节点

    在上一章kubeadm搭建kubernetes集群之一:构建标准化镜像中我们用VMware安装了一个CentOS7虚拟机,并且打算用这个虚拟机的镜像文件作为后续整个kubernetes的标准化镜像,现 ...

  5. kubeadm 搭建kubernetes集群环境

    需求 kubeadm 搭建kubernetes集群环境 准备条件 三台VPS(本文使用阿里云香港 - centos7.7) 一台能SSH连接到VPS的本地电脑 (推荐连接工具xshell) 安装步骤 ...

  6. kubeadm 搭建 K8S集群

    kubeadm是K8s官方推荐的快速搭建K8s集群的方法. 环境: Ubuntu 16.04 1 安装docker Install Docker from Ubuntu’s repositories: ...

  7. CentOS7 使用 kubeadm 搭建 k8s 集群

    一 安装Docker-CE 前言 Docker 使用越来越多,安装也很简单,本次记录一下基本的步骤. Docker 目前支持 CentOS 7 及以后的版本,内核要求至少为 3.10. Docker ...

  8. 通过Kubeadm搭建Kubernetes集群

    历经断断续续学习的两天,终于完成了一个简单k8s集群. 参考 https://www.cnblogs.com/edisonchou/p/aspnet_core_on_k8s_deepstudy_par ...

  9. centos7使用kubeadm搭建kubernetes集群

    一.本地实验环境准备 服务器虚拟机准备 IP CPU 内存 hostname 192.168.222.129 >=2c >=2G master 192.168.222.130 >=2 ...

随机推荐

  1. mysql及联合查询

    SQL语句分类 DDL 数据库定义语言 定义数据库对象 create alter truncate drop TPL 事务处理语言 rollback commit DCL 数据控制语言 由 GRANT ...

  2. vue-cli4.x+部署vue2.x开发环境 引入iview

    1.首先当然是安装nodejs,因为这边我已经装过了 所以就不再安装了 直接下一步下一步完成安装. 2.get~安装完成后先测试一下是否在本地已经安装成功了,能出现下面这两个提示就说明安装已经成功了 ...

  3. Lua 协同程序(coroutine)

    什么是协同(coroutine)? Lua 协同程序(coroutine)与线程比较类似:拥有独立的堆栈,独立的局部变量,独立的指令指针,同时又与其它协同程序共享全局变量和其它大部分东西. 协同是非常 ...

  4. 《C++ primer plus》第3章练习题

    注:有的题设条件自己改动了一下,比如英寸英尺改成米和厘米,部分题目自己加了点额外要求. 1.要求用户输入身高(m),用下划线提示用户输入,将身高转化成"米"加"厘米&qu ...

  5. STM32之旅2——按键

    STM32之旅2--按键     几乎每个项目都有用到按键,为了避免以后在做大项目的时候还在琢磨按键怎么写,现在写一个,方便以后使用.这里是最简单的独立按键驱动方法,和学习51单片机是的一样,更好的方 ...

  6. 如何让程序像人一样的去批量下载歌曲?Python爬取付费歌曲

    前言 本文的文字及图片来源于网络,仅供学习.交流使用,不具有任何商业用途,版权归原作者所有,如有问题请及时联系我们以作处理. 今天来教大家一个自动化爬虫的工具 selenium selenium Se ...

  7. JVM 第五篇:命令行 JVM 故障处理工具

    本文内容过于硬核,建议有 Java 相关经验人士阅读. 1. 引言 虽然我们前面介绍了各种图形化 JVM 故障处理工具,但是很多情况下,我们在处理问题的时候并没有图形化的操作环境可以使用,这时候,就需 ...

  8. fastadmin toggle switch 开关 ids 值为空的解决办法

    这个是低版本的一个bug 官方已给出说明,由于项目原因未选择升级版本 现在讲解决办法 1.在自定义开关的字段假如table:table 2.修改require-table.js 在536行左右的 to ...

  9. iOS使用NSTextAttachment添加图片,图片模糊

    最近在忙的项目中,需要处理富文本的相关内容,产品需求并不复杂,所以想着用TextKit处理,顺便学习一下,没想到直接掉坑.在此记录一下(都是血泪史),顺便为有需要的小伙伴提供参考. // Add th ...

  10. 3.Android网络编程-http介绍

    1.HTTP请求方法 根据HTTP标准,HTTP请求可以使用多种请求方法. HTTP1.0定义了三种请求方法: GET(查), POST(改)和 HEAD(获取报头,一般用来测试链接是否正常)方法. ...