附025.kubeadm部署Kubernetes更新证书
一 查看证书
1.1 查看过期时间-方式一
1 [root@master01 ~]# tree /etc/kubernetes/pki/
2 [root@master01 ~]# for tls in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`; \
3 do echo ===============$tls===============; \
4 openssl x509 -in $tls -text| grep Not; \
5 done
1.1 查看过期时间-方式二
1 [root@master01 ~]# tree /etc/kubernetes/pki/
1 [root@master01 ~]# kubeadm alpha certs check-expiration
提示:由上可知,根证书有效期为10年,其他所有证书有效期为1年。
二 证书类别
2.1 集群根证书
1 [root@master01 ~]# ll /etc/kubernetes/pki/ca*
2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/ca.crt
3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/ca.key
由此集群根证书签发的证书有:
- kube-apiserver 组件持有的服务端证书
1 [root@master01 ~]# ll /etc/kubernetes/pki/apiserver.*
2 -rw-r--r-- 1 root root 1.3K Jun 15 21:08 /etc/kubernetes/pki/apiserver.crt
3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/apiserver.key
- kubelet 组件持有的客户端证书
1 [root@master01 ~]# ll /etc/kubernetes/pki/apiserver-kubelet-client.*
2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/apiserver-kubelet-client.crt
3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/apiserver-kubelet-client.key
提示:kubelet的/var/lib/kubelet/config.yaml配置文件中一般不会明确指定服务端证书,而是只指定 ca 根证书, 让 kubelet 根据本地主机信息自动生成服务端证书并保存到配置的cert-dir文件夹中。
2.2 汇聚层证书
1 [root@master01 ~]# ll /etc/kubernetes/pki/front-proxy-ca.*
2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/front-proxy-ca.crt
3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/front-proxy-ca.key
由此汇聚层根证书签发的证书有:
1 [root@master01 ~]# ll /etc/kubernetes/pki/front-proxy-client.*
2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/front-proxy-client.crt
3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/front-proxy-client.key
4
2.3 etcd集群根证书
1 [root@master01 ~]# ll /etc/kubernetes/pki/etcd/ca.*
2 -rw-r--r-- 1 root root 1017 Jun 15 21:08 /etc/kubernetes/pki/etcd/ca.crt
3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/etcd/ca.key
4
由此etcd根证书签发的证书有:
- etcd server服务端证书
1 [root@master01 ~]# ll /etc/kubernetes/pki/etcd/server.*
2 -rw-r--r-- 1 root root 1.2K Jun 15 21:08 /etc/kubernetes/pki/etcd/server.crt
3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/etcd/server.key
4
- etcd 集群中peer节点互相通信使用的客户端证书
1 [root@master01 ~]# ll /etc/kubernetes/pki/etcd/peer.*
2 -rw-r--r-- 1 root root 1.2K Jun 15 21:08 /etc/kubernetes/pki/etcd/peer.crt
3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/etcd/peer.key
4
- pod 中定义 Liveness 探针使用的客户端证书
1 [root@master01 ~]# ll /etc/kubernetes/pki/etcd/healthcheck-client.*
2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/etcd/healthcheck-client.crt
3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/etcd/healthcheck-client.key
4
- 配置在 kube-apiserver 中用来与 etcd server 做双向认证的客户端证书
1 [root@master01 ~]# ll /etc/kubernetes/pki/apiserver-etcd-client.*
2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/apiserver-etcd-client.crt
3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/apiserver-etcd-client.key
4
2.4 Serveice Account密钥
1 [root@master01 ~]# ll /etc/kubernetes/pki/sa.*
2 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/sa.key
3 -rw------- 1 root root 451 Jun 15 21:08 /etc/kubernetes/pki/sa.pub
4
Serveice Account密钥对仅提供给 kube-controller-manager 使用. kube-controller-manager 通过 sa.key 对 token 进行签名, master 节点通过公钥 sa.pub 进行签名的验证。
延伸:API Server身份验证过程:
API Server的authenticating环节支持多种身份校验方式:client cert、bearer token、static password auth等,这些方式中只要有一种方式通过authenticating(Kubernetes API Server会逐个方式尝试),那么身份校验就会通过。
一旦API Server发现client发起的request使用的是service account token的方式,API Server就会自动采用signed bearer token方式进行身份校验。而request则使用携带的service account token参与验证。该token是API Server在创建service account时用API server启动参数:–service-account-key-file的值签署(sign)生成的。如果–service-account-key-file未传入任何值,那么将默认使用–tls-private-key-file的值,即API Server的私钥(server.key)。
通过authenticating后,API Server将根据Pod username所在的group:system:serviceaccounts和system:serviceaccounts:(NAMESPACE)的权限对其进行authority 和admission control两个环节的处理。在这两个环节中,cluster管理员可以对service account的权限进行细化设置。
kubeadm 创建的集群,kube-proxy、flannel、coreDNS是以 pod 形式运行的,在 pod 中,直接使用 service account 与 kube-apiserver 进行认证,此时就不需要再单独为 kube-proxy 创建证书。
三 更新证书方法一
提示:此方式采用kubeadm默认延期1年时间的策略,若要自定义更长时间,如100年,才开步骤四。
3.1 备份集群配置
1 [root@master01 ~]# kubeadm config view > kubeadm-cluster.yaml
3.2 更新证书
1 [root@master01 ~]# kubeadm alpha certs renew --help #查看帮助
提示:由help可知,证书更新可针对单个证书更新。
1 [root@master01 ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml #更新所有证书
1 [root@master01 ~]# kubeadm alpha certs check-expiration #确认验证
1 [root@master01 ~]# scp -rp kubeadm-cluster.yaml root@master02:/root/
2 [root@master01 ~]# scp -rp kubeadm-cluster.yaml root@master03:/root/
3 [root@master02 ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml
4 [root@master03 ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml
5
提示:更新操作需要在所有master节点执行。
3.3 启用证书
在三台Master上执行重启kube-apiserver、kube-controller、kube-scheduler、etcd这4个容器,以便使证书生效。
1 [root@master01 ~]# docker ps |grep -E 'k8s_kube-apiserver|k8s_kube-controller-manager|k8s_kube-scheduler|k8s_etcd_etcd' | awk -F ' ' '{print $1}' |xargs docker restart
2 [root@master02 ~]# docker ps |grep -E 'k8s_kube-apiserver|k8s_kube-controller-manager|k8s_kube-scheduler|k8s_etcd_etcd' | awk -F ' ' '{print $1}' |xargs docker restart
3 [root@master03 ~]# docker ps |grep -E 'k8s_kube-apiserver|k8s_kube-controller-manager|k8s_kube-scheduler|k8s_etcd_etcd' | awk -F ' ' '{print $1}' |xargs docker restart
提示:启用操作需要在所有master节点执行。
四 更新证书方法二
提示:此方式采用编译kubeadm源码,源码中自定义证书时间,如100年。
4.1 备份集群配置
4.2 查看当前版本
1 [root@master01 ~]# kubectl version
4.3 获取源码
1 [root@master01 ~]# wget https://github.com/kubernetes/kubernetes/archive/v1.18.3.tar.gz
2 [root@master01 ~]# tar -zxvf v1.18.3.tar.gz
3
4.4 修改CA证书时间
1 [root@master01 ~]# vi kubernetes-1.18.3/staging/src/k8s.io/client-go/util/cert/cert.go
2 ……
3 57 func NewSelfSignedCACert(cfg Config, key crypto.Signer) (*x509.Certificate, error) {
4 ……
5 65 NotBefore: now.UTC(),
6 66 NotAfter: now.Add(duration365d * 100).UTC(),
7 ……
提示:ca证书最大时间限定为100年,若要将最大时限也延长,可在cert.go中修改如下maxAge值:
maxAge := time.Hour * 24 * 365 * 10
4.5 修改其他证书时间
1 [root@master01 ~]# vi kubernetes-1.18.3/cmd/kubeadm/app/constants/constants.go
2 ……
3 39 const (
4 48 // CertificateValidity defines the validity for all the signed certificates generated by kubeadm
5 49 CertificateValidity = time.Hour * 24 * 365 * 100
6 ……
7 [root@master01 kubernetes-1.18.3]# cat build/build-image/cross/VERSION
8 v1.13.9-5 #使用官方corss版本
4.6 编译kubeadm方式一
1 [root@master01 kubernetes-1.18.3]# docker pull us.gcr.io/k8s-artifacts-prod/build-image/kube-cross:v1.13.9-5
2 [root@master01 ~]# docker run --rm -v /root/kubernetes-1.18.3/:/go/src/k8s.io/kubernetes -it us.gcr.io/k8s-artifacts-prod/build-image/kube-cross:v1.13.9-5 bash
3 root@51e96585ea73:/go# cd /go/src/k8s.io/kubernetes
4 root@51e96585ea73:/go/src/k8s.io/kubernetes# make all WHAT=cmd/kubeadm GOFLAGS=-v
提示:若要编译其他命令,可参考如下:
# 编译kubelet
# make all WHAT=cmd/kubelet GOFLAGS=-v
# make all WHAT=cmd/kubelet GOFLAGS=-v
# 编译kubectl
# make all WHAT=cmd/kubectl GOFLAGS=-v
#编译完命令在 _output/bin/kubeadm 目录下,
#其中bin是使用了软连接
#真实路径是_output/local/bin/linux/amd64/kubeadm
1 root@51e96585ea73:/go/src/k8s.io/kubernetes# exit #退出容器
2 [root@master01 ~]# mv /usr/bin/kubeadm /usr/bin/kubeadm_backup #备份原kubeadm
3 [root@master01 ~]# cp kubernetes-1.18.3/_output/local/bin/linux/amd64/kubeadm /usr/bin/kubeadm
4 [root@master01 ~]# kubeadm version #查看版本
5
4.7 编译kubeadm方式二
1 [root@master01 ~]# yum -y install gcc make rsync jq
2 [root@master01 ~]# wget https://dl.google.com/go/go1.13.9.linux-amd64.tar.gz
3 [root@master01 ~]# tar zxvf go1.13.9.linux-amd64.tar.gz -C /usr/local/
4 [root@master01 ~]# vi /etc/profile.d/goenv.sh
5 #go setting
6 export GOROOT=/usr/local/go
7 export GOPATH=/usr/local/gopath
8 export PATH=$PATH:$GOROOT/bin
9 [root@master01 ~]# source /etc/profile
10 [root@master01 ~]# go version
11 go version go1.13.9 linux/amd64
12 [root@master01 ~]# cd kubernetes-1.18.3/
13 [root@master01 kubernetes-1.18.3]# make all WHAT=cmd/kubeadm GOFLAGS=-v
14 [root@master01 kubernetes-1.18.3]# mv /usr/bin/kubeadm /usr/bin/kubeadm_backup #备份原kubeadm
15 [root@master01 kubernetes-1.18.3]# cp _output/local/bin/linux/amd64/kubeadm /usr/bin/kubeadm
4.8 备份集群配置
4.8 更新证书
1 [root@master01 ~]# ssh root@master02 "mv /usr/bin/kubeadm /usr/bin/kubeadm_backup"
2 [root@master01 ~]# ssh root@master03 "mv /usr/bin/kubeadm /usr/bin/kubeadm_backup"
3 [root@master01 ~]# scp -rp kubeadm-cluster.yaml root@master02:/root/
4 [root@master01 ~]# scp -rp kubeadm-cluster.yaml root@master03:/root/
5 [root@master01 ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml
6 [root@master02 ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml
7 [root@master03 ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml
8 [root@master01 ~]# kubeadm alpha certs check-expiration #确认验证
提示:更新操作需要在所有master节点执行。
所有根证书:ca、etcd-ca、front-proxy-ca只有在init初始化的时候才会更新时间,因此建议对于kubeadm部署Kubernetes,可以在初始化之前使用编译的方式将证书设置为更长时间,如100年。
4.9 启用证书
在三台Master上执行重启kube-apiserver、kube-controller、kube-scheduler、etcd这4个容器,以便使证书生效。
参考3.3即可。
附025.kubeadm部署Kubernetes更新证书的更多相关文章
- 附003.Kubeadm部署Kubernetes
一 kubeadm介绍 1.1 概述 Kubeadm 是一个工具,它提供了 kubeadm init 以及 kubeadm join 这两个命令作为快速创建 kubernetes 集群的最佳实践. k ...
- 附012.Kubeadm部署高可用Kubernetes
一 kubeadm介绍 1.1 概述 参考<附003.Kubeadm部署Kubernetes>. 1.2 kubeadm功能 参考<附003.Kubeadm部署Kubernetes& ...
- 02 . Kubeadm部署Kubernetes及简单应用
kubeadm部署Kubernetes kubeadm简介 # kubeadm是一位高中生的作品,他叫Lucas Kaldstrom,芬兰人,17岁用业余时间完成的一个社区项目: # kubeadm的 ...
- [转帖]CentOS 7 使用kubeadm 部署 Kubernetes
CentOS 7 使用kubeadm 部署 Kubernetes 关闭swap 执行swapoff临时关闭swap. 重启后会失效,若要永久关闭,可以编辑/etc/fstab文件,将其中swap分 ...
- Kubeadm部署Kubernetes
Kubeadm部署Kubernetes 1.环境准备 主机名 IP 说明 宿主机系统 k8s-master 10.0.0.101 Kubernetes集群的master节点 Ubuntu2004 k8 ...
- 使用kubeadm部署Kubernetes v1.13.3
kubeadm是官方社区推出的一个用于快速部署kubernetes集群的工具. 这个工具能通过两条指令完成一个kubernetes集群的部署: 1. 安装要求 在开始之前,部署Kubernetes集群 ...
- [原]使用kubeadm部署kubernetes(一)
####################### 以下为声明 ##################### 在公众号 木子李的菜田 输入关键词: k8s 有系列安装文档 此文档是之前做笔记在 ...
- 使用kubernetes 官网工具kubeadm部署kubernetes(使用阿里云镜像)
系列目录 kubernetes简介 Kubernetes节点架构图: kubernetes组件架构图: 准备基础环境 我们将使用kubeadm部署3个节点的 Kubernetes Cluster,整体 ...
- centos7.1使用kubeadm部署kubernetes 1.16.2的master高可用
机器列表,配置域名解析 cat /etc/hosts192.168.200.210 k8s-master1192.168.200.211 k8s-master2192.168.200.212 k8s- ...
随机推荐
- Python 简明教程 --- 12,Python 字典
微信公众号:码农充电站pro 个人主页:https://codeshellme.github.io 代码写的越急,程序跑得越慢. -- Roy Carlson 目录 Python 字典是另一种非常实用 ...
- 并发04--JAVA中的锁
1.Lock接口 Lock与Synchronized实现效果一致,通过获得锁.释放锁等操作来控制多个线程访问共享资源,但是Synchronized将获取锁固话,必须先获得锁,再执行,因此两者对比来说, ...
- java语言进阶(四)_Map_斗地主案例
第一章 Map集合 1.1 概述 现实生活中常会看到这样的一种集合:IP地址与主机名,身份证号与个人,系统用户名与系统用户对象等,这种一一对应的关系,就叫做映射.Java提供了专门的集合类用来存放这种 ...
- 华山论剑(没有上司的舞会)——树形dp
华山论剑(没有上司的舞会) 题目描述 一日,小策如往常一般打开了自己的传奇,刚上线不久,就收到了帮主的私信.原来帮派里要召开一次武功比拼,让他来邀请各帮派人员,因为有些侠客还是萌新,所以需要小策挨个选 ...
- Java数组的定义与使用
一.数组概念 可以将多个同一数据类型的数据,存储到同一个容器中 1. 格式 数据类型[] 数组名=new 数据类型[元素个数] "数据类型"表示该数组中可以存放哪一类型的数据 &q ...
- lombok使用指南,代码极简工具
我们的项目中会用到各种bean,比如vo,bo,dto等等,bean上的属性我们一般写get(),set()方法,整个java文件看起来很臃肿. 一.简介 我们今天介绍的lombok只用使用注解就可以 ...
- Redis做为缓存的几个问题
缓存理流程: 前台请求,后台先从缓存中取数据,取到直接返回结果,取不到时从数据库中取,数据库取到更新缓存,并返回结果,数据库也没取到,那直接返回空结果. 1.缓存雪崩 解决方案3:如果缓存数据库是分布 ...
- Lambda 表达式遍历集合时用remove方法删除list集合中满足条件的元素问题
一:循环遍历list集合的四种方式 简单for循环 iterator循环 增加for循环 Lanbda表达式 二:四种遍历方式的用法示例 //简单for循环 List<SalaryAdjustm ...
- gitlab-ci部署实现持续集成(centos7)
一.gitlab安装 1. 环境准备 // selinux和 firewall 关闭 $ setenforce 0 $ sed -i "/^SELINUX/s/enforcing/disab ...
- GAN网络从入门教程(三)之DCGAN原理
目录 DCGAN简介 DCGAN的特点 几个重要概念 下采样(subsampled) 上采样(upsampling) 反卷积(Deconvolution) 批标准化(Batch Normalizati ...