重新编译kubeadm,修改默认证书时间
参考
kubeadm 部署的 kubernetes 集群,默认的证书有效时间是1年,需要每年手工更新。
1. 重新编译kubeadm
1.1 准备
# 下载对应的kubernetes源代码,这里采用 "v1.14.1" 版本wget https://codeload.github.com/kubernetes/kubernetes/tar.gz/v1.14.1# untartar -zxvf kubernetes-1.14.1.tar.gzcd kubernetes-1.14.1# 进入源代码目录cd kubernetes-1.14.1
1.2 修改源代码-cert.go
- 文件:
staging/src/k8s.io/client-go/util/cert/cert.go NewSelfSignedCACert方法,签发以下证书,且默认为10年有效期:- front-proxy-ca.crt
- front-proxy-client.crt
- ca.crt
- etcd/ca.crt
- etcd/peer.crt
# 1.14.0版本开始,此文件不需要修改vim staging/src/k8s.io/client-go/util/cert/cert.goconst duration365d = time.Hour * 24 * 365// Config contains the basic fields required for creating a certificatetype Config struct {CommonName stringOrganization []stringAltNames AltNamesUsages []x509.ExtKeyUsage}// AltNames contains the domain names and IP addresses that will be added// to the API Server's x509 certificate SubAltNames field. The values will// be passed directly to the x509.Certificate object.type AltNames struct {DNSNames []stringIPs []net.IP}// NewSelfSignedCACert creates a CA certificatefunc NewSelfSignedCACert(cfg Config, key crypto.Signer) (*x509.Certificate, error) {now := time.Now()tmpl := x509.Certificate{SerialNumber: new(big.Int).SetInt64(0),Subject: pkix.Name{CommonName: cfg.CommonName,Organization: cfg.Organization,},NotBefore: now.UTC(),# 默认已调整有效期为10年;# 但只影响部分证书:NotAfter: now.Add(duration365d * 10).UTC(),KeyUsage: x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature | x509.KeyUsageCertSign,BasicConstraintsValid: true,IsCA: true,}certDERBytes, err := x509.CreateCertificate(cryptorand.Reader, &tmpl, &tmpl, key.Public(), key)if err != nil {return nil, err}return x509.ParseCertificate(certDERBytes)}
1.3 修改源代码-pki_helpers.go
- ,以下证书由
NewSignedCert方法签发,但签发的证书默认只有一年有效期:- apiserver.crt
- apiserver-etcd-client.crt
- etcd/server.crt
- etcd/healthcheck-client.crt
- apiserver-kubelet-client.crt
# `NewSignedCert` 方法:# 部分证书是通过NewSignedCert这个方法签发,而这个方法签发的证书默认只有一年有效期,查看代码逻辑vim cmd/kubeadm/app/util/pkiutil/pki_helpers.go// NewSignedCert creates a signed certificate using the given CA certificate and keyfunc NewSignedCert(cfg *certutil.Config, key crypto.Signer, caCert *x509.Certificate, caKey crypto.Signer) (*x509.Certificate, error) {serial, err := rand.Int(rand.Reader, new(big.Int).SetInt64(math.MaxInt64))if err != nil {return nil, err}if len(cfg.CommonName) == 0 {return nil, errors.New("must specify a CommonName")}if len(cfg.Usages) == 0 {return nil, errors.New("must specify at least one ExtKeyUsage")}certTmpl := x509.Certificate{Subject: pkix.Name{CommonName: cfg.CommonName,Organization: cfg.Organization,},DNSNames: cfg.AltNames.DNSNames,IPAddresses: cfg.AltNames.IPs,SerialNumber: serial,NotBefore: caCert.NotBefore,# 修改签发相关证书的默认有效期为10年// NotAfter: time.Now().Add(duration365d).UTC(),NotAfter: time.Now().Add(duration365d * 10).UTC(),KeyUsage: x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature,ExtKeyUsage: cfg.Usages,}certDERBytes, err := x509.CreateCertificate(cryptorand.Reader, &certTmpl, caCert, key.Public(), caKey)if err != nil {return nil, err}return x509.ParseCertificate(certDERBytes)}
1.4 编译
# go环境已经准备好# kubeadmmake WHAT=cmd/kubeadm GOFLAGS=-v# 补充:编译kubelet# make all WHAT=cmd/kubelet GOFLAGS=-v# 补充:编译kubectl# make all WHAT=cmd/kubectl GOFLAGS=-v# 编译生成的二进制文件在 _output/bin/ 目录下
1.5 更新kubeadm
# 将kubeadm 文件拷贝替换系统中原有kubeadmcp /usr/bin/kubeadm /usr/bin/kubeadm.origincp _output/bin/kubeadm /usr/bin/kubeadm
2. 更新证书
2.1 更新 kube-master (任一)节点证书
1.13.x版本(含)之后的处理方式;- 不更新
kubeadm的情况下,也可手动更新证书,但更新的证书有效期默认仍是一年。
# 备份cp -r /etc/kubernetes/pki /etc/kubernetes/pki.origin# 更新证书;# "--config" 指定 "kubeadm" 的配置文件,建议使用部署集群时使用的配置文件;# 其他参数可参考官方文档cd /etc/kubernetes/pkikubeadm alpha certs renew all --config=/root/kubeadm/kubeadm-config.yaml# 验证openssl x509 -in apiserver.crt -text -noout | grep Not# 关于kubeconfig:$HOME/.kube/config# service account的密钥是以rsa密钥对形式生成,没有过期时间
2.2 (optional) HA集群其余mater节点证书更新
- 在已更新证书的master节点运行脚本,将更新的证书同步到其余master节点
# 如果可以,请提前在被同步master节点做备份cat certificate.sh#!/bin/bash# 2019-05-27 v0.1# scp certificate files from the first control plane node to the rest.USER=root # customizableCONTROL_PLANE_IPS="100.64.198.137 100.64.198.138"for host in ${CONTROL_PLANE_IPS}; doscp /etc/kubernetes/pki/ca.crt "${USER}"@$host:/etc/kubernetes/pki/scp /etc/kubernetes/pki/ca.key "${USER}"@$host:/etc/kubernetes/pki/scp /etc/kubernetes/pki/sa.key "${USER}"@$host:/etc/kubernetes/pki/scp /etc/kubernetes/pki/sa.pub "${USER}"@$host:/etc/kubernetes/pki/scp /etc/kubernetes/pki/front-proxy-ca.crt "${USER}"@$host:/etc/kubernetes/pki/scp /etc/kubernetes/pki/front-proxy-ca.key "${USER}"@$host:/etc/kubernetes/pki/scp /etc/kubernetes/pki/etcd/ca.crt "${USER}"@$host:/etc/kubernetes/pki/etcd/ca.crtscp /etc/kubernetes/pki/etcd/ca.key "${USER}"@$host:/etc/kubernetes/pki/etcd/ca.keyscp /etc/kubernetes/admin.conf "${USER}"@$host:/etc/kubernetes/done
3. 补充:go 环境
# download,根据需要选择版本wget https://studygolang.com/dl/golang/go1.12.1.linux-amd64.tar.gz# untartar -zxvf go1.12.1.linux-amd64.tar.gz -C /usr/local# edit /etc/profile,在文件末尾添加如下内容vim /etc/profile# go settingexport GOROOT=/usr/local/goexport GOPATH=/usr/local/gopathexport PATH=$PATH:$GOROOT/bin# enable /etc/profilesource /etc/profile
重新编译kubeadm,修改默认证书时间的更多相关文章
- 编译kubeadm使生成证书有效期为100年
目录 问题 编译 检查结果 问题 当我使用kubeadm部署成功k8s集群时在想默认生成的证书有效期是多久,如下所示 /etc/kubernetes/pki/apiserver.crt #1年有效期 ...
- mysql 连接超时解决方案: 怎样修改默认超时时间
mysql数据库有一个wait_timeout的配置,默认值为28800(即8小时). 在默认配置不改变的情况下,如果连续8小时内都没有访问数据库的操作,再次访问mysql数据库的时候,mysql数据 ...
- Openwrt编译时修改默认IP的方法
在~/openwrt/barrier_breaker/package/base-files/files/lib/functions/ uci-defaults.sh 第178行修改IP地址
- Android系统移植与调试之------->如何修改Android设备的默认休眠时间
1.找到~/mx0831-0525/frameworks/base/packages/SettingsProvider/res/values/ defaults.xml文件 2.修改默认休眠时间 3. ...
- 修改Django的默认打印时间
环境 Django版本:1.10 前言 默认情况下,Django会把日期按照“月份 天数, 年”的格式打印,比如2003年2月4日会打印成“Feb. 4, 2003”,这种格式对于西方人来说很好看,但 ...
- K8S 1.14.6中,将kubeadm集群证书颁发时间延长到100年
更改两个文件,重新编译kubeadm. 1,D:\kubernetes-1.14.6\staging\src\k8s.io\client-go\util\cert\cert.go // NewSelf ...
- Unity3D项目实战笔记(10):Unity3D编译IPA的PostEvents–节约时间利器
最近,SDK支付等接入差不多了,就从Unity3D生成IPA (企业版License), 然,需要手动执行的PostEvents竟然多大10项+, 这些我默默的承受了1周时间,每次约浪费20分钟-额外 ...
- MTK 修改默认时区
首先介绍应用程序修改 : AlarmManager mAlarmManager = (AlarmManager) getSystemService(Context.ALARM_SERVICE); mA ...
- 19.Eclipse 修改默认的keystore签名文件
Android开发中apk运行都需要签名,就算连接手机直接运行调试,apk都有签名,开发工具会有默认的debug_keyStore Eclipse ADT调试运行使用的是临时生成的Debug专用证书, ...
随机推荐
- TensorFlow基础篇
Tensor(张量)意味着N维数组,Flow(流)意味着基于数据流图的计算.TensorFlow的运行机制属于“定义”和“运行”相分离.模型的构建只是相当于定义了一个图结构(代表一个计算任务),图中有 ...
- [LeetCode] 352. Data Stream as Disjoint Intervals 分离区间的数据流
Given a data stream input of non-negative integers a1, a2, ..., an, ..., summarize the numbers seen ...
- JavaWeb 笔记
WEB-INF 目录 web.xml 文件配置 精准匹配 "/" "/index" "/go/index.html" 路径通配匹配 &quo ...
- Object.setPrototypeOf() 与Object.getPrototypeOf() 方法的使用
Object.setPrototypeOf 方法的使用 [1] 将一个指定的对象的原型设置为另一个对象或者null(既对象的[[Prototype]]内部属性). 语法 Object.setProto ...
- GC分析工具使用-gceacy分析堆栈
gceasy是一款在线的gc分析工具.试用一下分析jstack的日志 1.jstack -l 3539 > 3539.stack 2.打包成zip文件 3.上传https://gceasy.io ...
- IDEA整合GIT所有操作
IDEA整合GIT操作 1.1 配置Idea集成Git 1.2 在使用SSH key 创建公钥私钥,上传公钥到github (1).点击开始菜单-->所有程序--->git选择 Git B ...
- 2018 ACM-ICPC徐州站网络赛 G题
There's a beach in the first quadrant. And from time to time, there are sea waves. A wave ( xxx , yy ...
- [转帖]tcpdump详细教程
tcpdump详细教程 https://www.jianshu.com/p/d9162722f189 tcpdump tcpdump - dump traffic on a network tcpdu ...
- 那些前端二进制操作API
一直以来,前端的工作主要涉及的是字符串操作,而对二进制的数据接触较少.但是这种需求却一直存在着,尤其是HTML5之后,随着web应用越来越复杂,File,Blob,TypedArray这些API的出现 ...
- Blend Brush介绍
原文:Blend Brush介绍 这篇文章会介绍 Blend怎么设置Brush 全局画刷 1)blend面板的介绍 这5个rectangle分别对应 blend中的 5个设置 1 设置无颜色 2 设置 ...