kubeadm证书/etcd证书过期处理

kubeadm证书/etcd证书过期处理

今天突然测试环境的Kubernetes 持续集成/持续发布出了问题了,然后上测试环境服务器排查,发现kubectl指令执行出现问题,

Unable to connect to the server: x509: certificate has expired or is not yet valid

然后翻译了一下提示证书已过期,网上查了下资料,说是:kubernetes的apiServer 与kubelet的访问授权证书是一年,官方的解释是:通过这种方式,让用户不断的升级版本。给出的解决方案有以下几种:
去掉证书验证功能(不科学,等于自己去改源码)
重新生成证书,替换旧的。
升级集群,自动更新证书
部署一套新的环境,业务迁移过去。
https://github.com/kubernetes/kubeadm/issues/581

查看证书的有效日期:(这是已经更新的了的。默认有效期为一年)

[root@node01 bin]# openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not '
            Not Before: May 18 07:34:20 2018 GMT
            Not After : May 19 04:23:55 2020 GMT

开始替换证书:
一、 备份原来的配置文件及证书

[root@node01 bin]#  cp -rf /etc/kubernetes /etc/kubernetes_bak/
[root@node01 bin]#  cd /etc/kubernetes/
[root@node01 kubernetes]#  rm -f pki/apiserver*
[root@node01 kubernetes]#  rm -f pki/front-proxy-client.*
[root@node01 kubernetes]#  rm -f ./admin.conf
[root@node01 kubernetes]#  rm -f ./kubelet.conf
[root@node01 kubernetes]#  rm -f ./controller-manager.conf
[root@node01 kubernetes]#  rm -f ./scheduler.conf

二、 创建新证书及配置文件。

[root@node01 kubernetes]# cd ~/kubernetes/
[root@node01 kubernetes]# ls
config.yaml  kube-flannel.yml  kubernetes-dashboard.yaml
[root@node01 kubernetes]# pwd
/root/kubernetes
[root@node01 kubernetes]# kubeadm alpha phase certs all --config config.yaml   #生成证书  config.yaml是kubeadm init时候的配置参数
[root@node01 kubernetes]# kubeadm alpha phase certs apiserver-kubelet-client
[root@node01 kubernetes]# kubeadm alpha phase certs front-proxy-client

[root@node01 kubernetes]# kubeadm alpha phase kubeconfig all --config config.yaml # 生成配置文件
[root@node01 kubernetes]# systemctl restart kubelet  # 重启Kubelet、docker
[root@node01 kubernetes]# systemctl restart docker # 只要是重启kubernetes的相关组件

P.S: 如果有多台master 则把证书和配置文件拷贝过去重启kubernetes组件即可。

三、 查看证书日期、测试:

[root@node01 bin]# openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not '
            Not Before: May 18 07:34:20 2018 GMT
            Not After : May 19 04:23:55 2020 GMT

[root@node01 ~]# kubectl get node -o wide
NAME      STATUS    ROLES     AGE       VERSION   EXTERNAL-IP   OS-IMAGE                KERNEL-VERSION              CONTAINER-RUNTIME
node01    Ready     master    1y        v1.10.2   <none>        CentOS Linux 7 (Core)   3.10.0-693.el7.x86_64       docker://17.3.2
node02    Ready     <none>    1y        v1.10.2   <none>        CentOS Linux 7 (Core)   3.10.0-693.el7.x86_64       docker://17.3.2
node03    Ready     <none>    1y        v1.10.2   <none>        CentOS Linux 7 (Core)   3.10.0-693.el7.x86_64       docker://17.3.2
node05    Ready     <none>    333d      v1.10.2   <none>        CentOS Linux 7 (Core)   3.10.0-862.3.3.el7.x86_64   docker://17.3.2
node06    Ready     <none>    318d      v1.10.2   <none>        CentOS Linux 7 (Core)   3.10.0-514.el7.x86_64       docker://17.3.2

关于ETCD集群的证书过期解决方案:

先备份数据(/var/lib/etcd/)
根据部署时候生成证书的步骤重新生成etcd证书,然后替换。

检查etcd的证书,发现etcd同样也过期了:

[root@node01 ssl]#  openssl x509 -in etcd.pem -noout -text |grep ' Not '
            Not Before: Oct  8 13:49:00 2020 GMT
            Not After : Oct  8 13:49:00 2020 GMT
[root@node01 ssl]# pwd
/etc/etcd/ssl

在替换证书之前先把etcd的数据备份一下

cd /var/lib
tar -zvcf etcd.tar.gz etcd/

创建新的证书

rm -rf /etc/etcd/ssl/*   #删除旧的证书
cd /root/ssl
cfssl gencert -initca ca-csr.json | cfssljson -bare ca

cfssl gencert -ca=ca.pem \
  -ca-key=ca-key.pem \
  -config=ca-config.json \
  -profile=kubernetes-Soulmate etcd-csr.json | cfssljson -bare etcd

cp etcd.pem etcd-key.pem ca.pem /etc/etcd/ssl/
scp -r /etc/etcd/ssl/*.pem node02:/etc/etcd/ssl/
scp -r /etc/etcd/ssl/*.pem node03:/etc/etcd/ssl/

在查看证书时间

[root@node01 ssl]#  openssl x509 -in etcd.pem -noout -text |grep ' Not '
            Not Before: Oct  8 13:49:00 2020 GMT
            Not After : Oct  8 13:49:00 2021 GMT
[root@node01 ssl]# pwd
/etc/etcd/ssl
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/101943.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • linux 使用外部设备的(光盘) 安装和更新库

    linux 使用外部设备的(光盘) 安装和更新库

  • 2.什么是线程间的通信 ?怎么实现线程通信

    2.什么是线程间的通信 ?怎么实现线程通信2.1什么是线程通信以及实现步骤线程间通信的模型有两种:共享内存和消息传递线程通信其实就是,实现线程的交替工作,并传递信息线程间的通信具体步骤:(涉及上中下部)创建资源类,在资源类中船舰属性和操作方法 在资源类操作方法:判断、操作、通知 创建多个线程,调用资源类的操作方法 防止虚拟唤醒问题(if判读,只会判断一次)2.2synchronized案例操作线程的时候,等待线程使用wait()通知另外的线程操作用notify()、notifyAll()假设…

  • 对公司用人的一些思考

    对公司用人的一些思考

  • android可用的萝莉字体,自行添加了高相似度的英文字体

    众所周知,android的字体是英文与中文独立文件的中文字体是DroidSansFallback.ttf4.0.X系统英文字体是Roboto-Regular.ttf2.3.X系统英文字体是DroidSans.ttf而在网络上流传的都是只有中文的字体,没有英文的替换,十分不协调自己也是蛮喜欢这个字体的,找了蛮长时间,找到了一个与中文风格比较匹配的字体→kristenit

  • 拉链表实现及使用

    拉链表实现及使用一、概念历史拉链表,就是记录一个事务从开始一直到当前状态的所有变化的信息,拉链表可以避免按每一天存储所有记录造成的海量存储问题,同时也是处理缓慢变化数据的一种常见方式。假设企业拥有1000万的会员信息,每天有20万的会员资料变更,我们需要记录所有会议的历史变化记录,并至少保留两年,该怎么办?储存两年就是2x365x1000万=7300000000(70亿),如果储存…

    2022年10月16日
  • cmpp20协议对接「建议收藏」

    cmpp20协议对接「建议收藏」最近公司派任务,让完成cmpp20协议的ps模块。这里总结下期间遇到的问题。1、cmpp20的协议里没有report实体,其实report是和deliver在一起的。deliver里有一个字段Registered_Delivery,0代表deliver,1代表report。同时,当deliver代表report时,MessageContent里面是msgid、Stat、Submit_time、Do…

    2022年10月27日

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号