编译kubeadm使生成证书有效期为100年

目录

• • 问题
  • 编译
• 检查结果

问题

• 当我使用kubeadm部署成功k8s集群时在想默认生成的证书有效期是多久，如下所示

/etc/kubernetes/pki/apiserver.crt                #1年有效期
/etc/kubernetes/pki/front-proxy-ca.crt           #10年有效期
/etc/kubernetes/pki/ca.crt                       #10年有效期
/etc/kubernetes/pki/apiserver-etcd-client.crt    #1年有效期
/etc/kubernetes/pki/front-proxy-client.crt       #1年有效期
/etc/kubernetes/pki/etcd/server.crt              #1年有效期
/etc/kubernetes/pki/etcd/ca.crt                  #10年有效期
/etc/kubernetes/pki/etcd/peer.crt                #1年有效期
/etc/kubernetes/pki/etcd/healthcheck-client.crt  #1年有效期
/etc/kubernetes/pki/apiserver-kubelet-client.crt #1年有效期

• 也可以通过kubeadm certs check-expiration查看证书和有效期
• 当然可以使用kubeadm certs renew all来续订证书，但是证书更新了那些服务如果要重启就很麻烦
• 所以我想修改kubeadm源码让默认生成的证书有100年有效期

编译

• 官方文档：编译k8s
• 下载源码：git clone --depth=1 -b v1.24.2 git@github.com:kubernetes/kubernetes.git，目前最新的kubeadm版本是v1.24.2，所以直接克隆这个标签
• 找到该版本使用的镜像：K8S_IMG="k8s.gcr.io/build-image/kube-cross:$(cat ./build/build-image/cross/VERSION)"
• 我已经放到阿里云上了，现在只需执行：docker pull registry.cn-hangzhou.aliyuncs.com/janbar-k8s/kube-cross:v1.24.0-go1.18.3-bullseye.0到本地就可以了
• 修改 NewSelfSignedCACert 方法的 NotAfter 为(100年): now.Add(duration365d * 100).UTC()： vim ./staging/src/k8s.io/client-go/util/cert/cert.go
• 修改 CertificateValidity 为: time.Hour * 24 * 365 * 99：vim ./cmd/kubeadm/app/constants/constants.go
• 最终修改提交如下图所示，已经将1年和10年的证书都改成100年

• 编译kubeadm：cd build/ && ./run.sh make kubeadm
• 执行命令查看编译kubeadm的版本：./_output/dockerized/bin/linux/amd64/kubeadm version
• 这个可执行程序就可以替换你自己用那个就行了

检查结果

• 执行检查证书命令：kubeadm alpha certs check-expiration
  
  
• 可以看到所有证书有效期都变为100年了