rancher中文文档:http://docs.rancher.cn/

k8s中文文档:https://kubernetes.io/zh/docs

一、修改kubeadm 源码 增加证书到100年

  1. $ git clone https://github.com/kubernetes/kubernetes.git
  3. $ cd kubernetes
  5. # 编辑源码
  7. $ git checkout release-1.15
  8. $ vim cmd/kubeadm/app/util/pkiutil/pki_helpers.go
  9. $ git diff
  10. --- a/cmd/kubeadm/app/util/pkiutil/pki_helpers.go
  11. +++ b/cmd/kubeadm/app/util/pkiutil/pki_helpers.go
  12. @@ -571,7 +571,7 @@ func NewSignedCert(cfg *certutil.Config, key crypto.Signer, caCert *x509.Certifi
  13.   IPAddresses: cfg.AltNames.IPs,
  14.   SerialNumber: serial,
  15.   NotBefore: caCert.NotBefore,
  17. - NotAfter: time.Now().Add(kubeadmconstants.CertificateValidity).UTC(),
  19. + NotAfter: time.Now().Add(kubeadmconstants.CertificateValidity * 100).UTC(),
  20.   KeyUsage: x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature,
  21.   ExtKeyUsage: cfg.Usages,
  23. # 编译二进制
  25. $ go version
  26. go version go1.12.7 linux/amd64
  27. $ go build ./cmd/kubeadm
  29. # 使用二进制更新证书
  31. $ ./kubeadm alpha certs renew all
  32. certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself renewed
  33. certificate for serving the Kubernetes API renewed
  34. certificate the apiserver uses to access etcd renewed
  35. certificate for the API server to connect to kubelet renewed
  36. certificate embedded in the kubeconfig file for the controller manager to use renewed
  37. certificate for liveness probes to healtcheck etcd renewed
  38. certificate for etcd nodes to communicate with each other renewed
  39. certificate for serving etcd renewed
  40. certificate for the front proxy client renewed
  41. certificate embedded in the kubeconfig file for the scheduler manager to use renewed
  43. 查看证书
  45. cd /etc/kubernetes/pki
  47. openssl x509 -in front-proxy-client.crt   -noout -text  |grep Not
  48.             Not Before: Nov 28 09:07:02 2018 GMT
  49.             Not After : Nov 25 09:07:03 2028 GMT
  51. openssl x509 -in apiserver.crt   -noout -text  |grep Not
  52.             Not Before: Nov 28 09:07:04 2018 GMT
  53.             Not After : Nov 25 09:07:04 2028 GMT

参考:https://blog.csdn.net/xianjuke008/article/details/106107618/

二、集群证书过期处理

  1. cp -rp /etc/kubernetes /etc/kubernetes.bak
  2. ./kubeadm alpha certs renew all
  3. docker ps |grep -E 'k8s_kube-apiserver|k8s_kube-controller-manager|k8s_kube-scheduler|k8s_etcd_etcd' | awk -F ' ' '{print $1}' |xargs docker restart
  4. mv /root/.kube/config /root/.kube/config_old
  5. cp /etc/kubernetes/admin.conf /root/.kube/config
  6. #查看证书到期时间
  7. kubeadm alpha certs check-expiration

三、rancher更新证书

见 : https://www.cnblogs.com/jerry-0910/p/15379813.html

四、rancher证书过期处理

见:http://docs.rancher.cn/docs/rancher2/cluster-admin/certificate-rotation/_index/#升级较旧的-rancher-版本后轮换过期的证书

kubernetes证书过期处理的更多相关文章

  1. kubernetes 之kubelet客户端证书过期问题处理 KubeClientCertificateExpiration apiserver (monitoring/k8s warning) Kubernetes API certificate is expiring in less than 7 days.

    aaarticlea/png;base64,iVBORw0KGgoAAAANSUhEUgAAB4gAAAKMCAYAAAAZj+XuAAABfGlDQ1BJQ0MgUHJvZmlsZQAAKJFjYG ...

  2. Kubeadm安装的K8S集群1年证书过期问题的解决思路

    这个问题,很多使用使用kubeadm的用户都会遇到. 网上也有类似的帖子,从源代码编译这种思路, 在生产环境,有些不现实. 还是使用kubeadm的命令操作,比较自然一点. 当然,自行生成一套证书,也 ...

  3. k8s采坑记 - 解决二进制安装环境下证书过期问题

    前言 上一篇k8s采坑记 - 证书过期之kubeadm重新生成证书阐述了如何使用kubeadm解决k8s证书过期问题. 本篇阐述使用二进制安装的kubernetes环境,如何升级过期证书? k8s配置 ...

  4. k8s采坑记 - 证书过期之kubeadm重新生成证书

    重新生成证书 证书备份 cp -rp /etc/kubernetes /etc/kubernetes.bak 移除过期证书 rm -f /etc/kubernetes/pki/apiserver* r ...

  5. kubelet证书过期解决方法

    昨天收到报警短信:集群中某node状态为notReady,由于是长期不用的,所以放到今天才有空处理,以下记录处理过程. 查看kubelet日志,发现不停的打印证书过期相关提示信息. 以下操作基于kub ...

  6. Kubeadm证书过期时间调整

    kubeadm 默认证书为一年,一年过期后,会导致api service不可用,使用过程中会出现:x509: certificate has expired or is not yet valid. ...

  7. kubernets 证书过期的问题

    .问题起源 kubeadm 是 kubernetes 提供的一个初始化集群的工具,使用起来非常方便.但是它创建的apiserver.controller-manager等证书默认只有一年的有效期,同时 ...

  8. k8s集群证书过期(kubeadm 1.10.2 )

    1.k8s 集群架构描述 kubeadm v1.10.2创建k8s集群. master节点高可用,三节点(10.18.60.3.10.18.60.4.10.18.60.5). LVS实现master三 ...

  9. 如何处理 Kubeadm 搭建的集群证书过期问题

    Kubeadm 证书过期处理 以下内容参考了如下链接:https://www.cnblogs.com/skymyyang/p/11093686.html 一.处理证书已过期的集群 使用 kubeadm ...

随机推荐

  1. opencv笔记--stitching模块

    opencv 提供了全景图像拼接的所有实现,包括: 1)stitching 模块提供了图像拼接过程中所需要的基本元素,该模块主要依赖于 features2d 模块: 2)提供了 stitching_d ...

  2. Solution -「BZOJ 4316」小C的独立集

    \(\mathcal{Description}\)   Link.   求包含 \(n\) 个结点 \(m\) 条边的仙人掌的最大独立集.   \(n\le5\times10^4\),\(m\le6\ ...

  3. 『无为则无心』Python面向对象 — 45、面向对象编程

    目录 1.面向对象编程的概念 2.面向对象编程和面向过程编程的区别 (1)面向过程编程 (2)面向对象编程 3.举例理解面向对象 4.Python的面向对象编程 5.面向对象的几大核心特性 1.面向对 ...

  4. Centos7.+系统,二进制包脚本安装Mysql

    #!/bin/bash #配置数据库要安装的目录,可以根据自己的安装路径修改PATHDIRPATHDIR="/project"BASEDIR="$PATHDIR/mysq ...

  5. web开发 小方法3-position

    值 描述 absolute 生成绝对定位的元素,相对于 static 定位以外的第一个父元素进行定位. 元素的位置通过 "left", "top", " ...

  6. SSM整合时页面出现$ is not defined

    $ is not defined ,有以下几种可能: 1.没有导入jQuery的jar包 2.jQuery的jar包放进了WEB-INF里,jQuery的jar包最好放在WebContent下,跟WE ...

  7. 图解AI数学基础 | 概率与统计

    作者:韩信子@ShowMeAI 教程地址:http://www.showmeai.tech/tutorials/83 本文地址:http://www.showmeai.tech/article-det ...

  8. Apache-log4j漏洞复现

    前言:昨天晚上当我还在睡梦中时,圈内爆出了核弹级的漏洞,今天我复现一下, 再开始前我们先建立一个maven项目,将pom.xml文件导入 <?xml version="1.0" ...

  9. windev中编辑表单确认按钮的code规范建议

    编辑表单的确认操作,是一个常规操作,根据过往经验,建议按以下规范代码来撸.案例如下所示(主子表保存): //填报规范:必填项目 IF COMBO_招聘职位 = "" OR COMB ...

  10. C# 复杂类实例的相等判断

    在比较两个对象是否完全相同时,对于string, int等其他value object,可以直接通过"=="或者"Equals"来进行判断.但是对于复杂类,如下 ...