在这种比较极端的情况下,要小心翼翼的规划和操作,才不会让集群彻底死翘翘.首先,几个ca根证书是10年期,应该还没有过期.我们可以基于这几个根证书,来重新生成一套可用的各组件认证证书. 前期,先制定以下方案步骤,能否实现,待验证. 一,制作证书的基本文件. Ca-csr.json(因为根证书是OK的,所以这个文件,可是列在这里,不会用上) { "CN": "kubernetes", "key": { "algo": "

kubernetes证书更新 版本:1.14.2,以下操作在3台master节点上操作 1.各个证书过期时间 /etc/kubernetes/pki/apiserver.crt #1年有效期 /etc/kubernetes/pki/front-proxy-ca.crt #10年有效期 /etc/kubernetes/pki/ca.crt #10年有效期 /etc/kubernetes/pki/apiserver-etcd-client.crt #1年有效期 /etc/kubernetes/pki

证书更新 默认证书一年有效期 一旦证书过期,使用kubectl时会出现如下提示:`Unable to connect to the server: x509: certificate has expired or is not yet valid` 查看证书过期情况 [root@k8s-test-master- ~]# kubeadm alpha certs check-expiration CERTIFICATE EXPIRES RESIDUAL TIME EXTERNALLY MANAGED

查看证书过期时期 [root@node1 ~]# openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not ' Not Before: Sep 4 08:29:00 2019 GMT Not After : Sep 3 08:29:02 2020 GMT 备份etcd [root@node1 etcd-backup]# export ETCDCTL_API=3 [root@node1 etcd-back

最近,发现在Win7下面一系列操作都会出现卡顿的情况: 1.  Visual studio 启动调试和关闭调试时,都会卡上半分钟左右 2.  使用远程桌面mstsc.exe,点击连接时,也会卡上半分钟左右. 3.  使用TortoiseSVN,连接https的SVN代码库时,也会卡上这么久. 非常恼火,严重影响工作效率.先后排除了各种网络原因,最终怀疑是系统问题. 通过抓包程序Fiddler跟踪网络连接,发现每次visual studio卡顿的时候,都会访问下面这个地址: http://ctld

k8s证书反解 1.将k8s配置文件(kubelet.kubeconfig)中client-certificate-data:内容拷贝 2.echo "client-certificate-data:内容"|base64 -d > 123.pem 3.展示证书内容:cfssl-certinfo -cert 123.pem

ADFS 4.0 证书更新 由于公网证书的过期,需要重新更新ADFS的服务通信证书: 证书要求: 带私钥 PFX格式 更换流程: 证书安装到 证书\计算机\个人,安装后点开证书能看到"你有一个与证书对应的私钥" 右击证书>所有任务>管理私钥>添加,将ADFS部署过程中添加的ADFS服账户赋权,读取权限即可 PowerShell 操作: dir cert:\LocalMachine\My #获取本地证书指纹 Set-AdfsCertificate -Certificat

转载自https://www.cnblogs.com/kuku0223/p/12978716.html 1. 各个证书过期时间 /etc/kubernetes/pki/apiserver.crt #1年有效期 /etc/kubernetes/pki/front-proxy-ca.crt #10年有效期 /etc/kubernetes/pki/ca.crt #10年有效期 /etc/kubernetes/pki/apiserver-etcd-client.crt #1年有效期 /etc/kuber

1.k8s 搭建   参见https://blog.51cto.com/lizhenliang/2325770 [root@VM_0_48_centos ~]# kubectl get cs NAME STATUS MESSAGE ERROR scheduler Healthy ok controller-manager Healthy ok etcd-1 Healthy {"health": "true"} etcd-0 Healthy {"health

#证书自签名脚本 root@k8s-master: ~/k8s/k8s-cert :: $ cat k8s-cert.sh cat > ca-config.json <<EOF { "signing": { "default": { "expiry": "87600h" }, "profiles": { "kubernetes": { "expiry"

kubeadm 默认证书为一年,一年过期后,会导致api service不可用,使用过程中会出现:x509: certificate has expired or is not yet valid. 方案一 通过修改kubeadm 调整证书过期时间 修改代码,调整过期时间 方案二 通过自动轮换证书默认开启 以下方案通过第二种方法模拟集群证书过期 准备 本次集群版本1.15 备份集群证书(略) cd /etc/kubernetes tar czvf kubernetes.tar.gz kubern

服务器:centos6.6 1.从正确的.pfx文件中导出.pem认证文件 #openssl pkcs12 -in example.pfx -nodes -out server.pem pfx文件可以从其他正确的服务器导出 2.官网下载证书(主要是中间件证书) 官网地址:https://support.globalsign.com/customer/portal/articles/1223443-extendedssl-intermediste-certificates 下载root.ca和in

exchange 2010应用环境 四台前端服务器,两台位于DMZ区,两台位于办公网环境,办公网和DMZ的服务器做了NLB负载均衡,操作系统为windows server 2008 r2. 目前前端https绑定的是企业自颁发的sha1证书,加密套件为系统默认. 默认开启了RC4 使用了非安全的协议SSL_V2.0及SSL_V3.0 更改需求 将DMZ区两台服务器IIS证书替换为公网的sha256证书 关闭RC4 禁用SSL_V2.0及SSL_V3.0,启用TLS_V1.2,TLS_V1.1,T

一.滚动更新        应用程序一次只更新一小部分副本,更新成功后,再更新更多的副本,最终完成所有副本的更新. 滚动更新的优点:零停机,整个更新过程始终有副本在运行,从而保证了业务的连续性. 1.创建三个副本Httpd服务,初始镜像为httpd:2.2.31,然后滚动更新至httpd:2.2.32 ###cat httpd.yaml### apiVersion: apps/v1beta2 kind: Deployment metadata: name: httpd spec: replica

一.k8s版本更新 滚动更新是一次只更新一小部分副本,成功后,再更新更多的副本,最终完成所有副本的更新.滚动更新的最大的好处是零停机,整个更新过程始终有副本在运行,从而保证了业务的连续性. 实践:部署三个副本应用,初始镜像为httpd:v1,然后将其更新到httpd:v3 1.httpd:v1的配置文件如下: [root@ren7 yaml]# cat httpdv1.yaml apiVersion: extensions/v1beta1 kind: Deployment metadata: n

首先 下载苹果新证书 developer.apple.com/certificationauthority/AppleWWDRCA.cer 然后在"钥匙串访问"中  "显示"-"显示已过期证书" 如下图 然后 我们可以找到 过期的证书 如下图 有红叉的证书 删除掉(注意,左侧 登录那里可能也会有过期的证书,一同删掉) 然后双击下载的AppleWWDRCA.cer 导入证书  就可以了 导入证书后原来显示 此证书的签发者无效  已经变成了"

实践 滚动更新是一次只更新一小部分副本,成功后,再更新更多的副本,最终完成所有副本的更新.滚动更新的最大的好处是零停机,整个更新过程始终有副本在运行,从而保证了业务的连续性. 下面我们部署三副本应用,初始镜像为 httpd:2.2.31,然后将其更新到 httpd:2.2.32. 第一步: httpd:2.2.31 的配置文件如下: [root@ken ~]# cat httpd.yml apiVersion: apps/v1beta1 kind: Deployment metadata: na

周日在家里计划的. 俺不加班,但在家学习的时间一样没少! 还没弄完,只粗粗弄了etcd证书. #! /usr/bin/env bash set -e set -u set -x THIS_HOST=$ ]; then echo "wrong args." echo "usage `basename $0` [ip_address]" exit fi cs="/usr/bin/cfssl" csj="/usr/bin/cfssljson&

如果你安装好 oneinstack 你的定时任务就会自动添加 "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null 手动更新https直接执行命令即可 "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh"

这几个文件,是要结合前面的master安装脚本的. 所以有的json文件中会出现一些LOCAL_HOSTS_L,THIS_HOST之类的变量. 如果手工单独使用这些文件,要将这些变量替换为合适的IP或域名. 切记切记. apiserver.json { "CN": "kube-apiserver", "hosts": [ "kubernetes", "kubernetes.default", "k

这是后面生成的所有证书的基础. 但如果是公司内使用,使用基于这些证书生成的ca, 在保证安全性的情况下,可以更方便的部署. ca-csr.json { "CN": "kubernetes", "key": { "algo": "rsa", "size": 2048 }, "ca": { "expiry": "438000h" }