首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

k8s证书过期问题

作者:温恭凯364092 | 来源:互联网 | 2023-09-24 20:38
一、背景k8s默认证书有效时间是1年,证书过期后就不能执行相关命令进行管理,如下图: 二、查看证书有效时间可以看出RESIDUAL的显示结果是invalid,表示过期[root@m

一、背景

k8s默认证书有效时间是1年,证书过期后就不能执行相关命令进行管理,如下图:

k8s证书过期问题

 二、查看证书有效时间

可以看出RESIDUAL的显示结果是invalid,表示过期

[root@master pki]# kubeadm certs check-expiration
[check-expiration] Reading configuration from the cluster...
[check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -o yaml'
[check-expiration] Error reading configuration from the Cluster. Falling back to default configuration

CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
admin.conf                 Dec 28, 2021 08:24 UTC          ca                      no      
apiserver                  Dec 28, 2021 08:24 UTC          ca                      no      
apiserver-etcd-client      Dec 28, 2021 08:24 UTC          etcd-ca                 no      
apiserver-kubelet-client   Dec 28, 2021 08:24 UTC          ca                      no      
controller-manager.conf    Dec 28, 2021 08:24 UTC          ca                      no      
etcd-healthcheck-client    Dec 28, 2021 08:24 UTC          etcd-ca                 no      
etcd-peer                  Dec 28, 2021 08:24 UTC          etcd-ca                 no      
etcd-server                Dec 28, 2021 08:24 UTC          etcd-ca                 no      
front-proxy-client         Dec 28, 2021 08:24 UTC          front-proxy-ca          no      
scheduler.conf             Dec 28, 2021 08:24 UTC          ca                      no      

CERTIFICATE AUTHORITY   EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
ca                      Dec 20, 2031 07:18 UTC   9y              no      
etcd-ca                 Dec 20, 2031 07:18 UTC   9y              no      
front-proxy-ca          Dec 20, 2031 07:18 UTC   9y              no

三、解决方案

修改源码重新生成

官方默认证书都是一年,我就以生成证书有效期为10年为例

现在机器上安装go环境,这个过程就省略了,度娘下很简单

1、查看当前环境安装的看k8s版本

kubeamd  version

2、下载源码

github上下载看k8s的源码,版本是第一步查询的版本,过程略

3、修改代码

我的版本是1.23.1版本,修改/opt/kubernetes/cmd/kubeadm/app/util/pkiutil/pki_helpers.go文件,我的大概在653行,有可能不同版本地方不一样,可以通过kubeadmconstants.CertificateValidity关键词搜索定位

注释掉notAfter := time.Now().Add(kubeadmconstants.CertificateValidity).UTC()

在上面添加:

const year10 = time.Hour * 24 * 365 * 10

notAfter := time.Now().Add(year10).UTC()

k8s证书过期问题

 

 

4、重新编译

make WHAT=cmd/kubeadm GOFLAGS=-v

k8s证书过期问题

 

会在/opt/kubernetes/_output/bin 下生成kubeadm命令

 

5、备份原来的kubeadm和证书文件,避免出错还原

cp  /usr/bin/kubeadm /usr/bin/kubeadm_bak
cp -r  /etc/kubernetes/pki /etc/kubernetes/pki_bak

6、拷贝kubeadm到/usr/bin/下

[root@master bin]# pwd
/opt/kubernetes-master/_output/bin
[root@master bin]# 
[root@master bin]# 
[root@master bin]# ll
total 79136
-rwxr-xr-x 1 root root  6295552 Dec 28 16:58 conversion-gen
-rwxr-xr-x 1 root root  6021120 Dec 28 16:58 deepcopy-gen
-rwxr-xr-x 1 root root  6029312 Dec 28 16:58 defaulter-gen
-rwxr-xr-x 1 root root  3376703 Dec 28 16:58 go2make
-rwxr-xr-x 1 root root 45187072 Dec 28 17:00 kubeadm
-rwxr-xr-x 1 root root  8126464 Dec 28 16:58 openapi-gen
-rwxr-xr-x 1 root root  5996544 Dec 28 16:58 prerelease-lifecycle-gen
[root@master bin]# 
[root@master bin]# cp kubeadm /usr/bin/
cp: overwrite ‘/usr/bin/kubeadm’? y

7、重新生成证书

[root@master bin]# kubeadm certs renew all
[renew] Reading configuration from the cluster...
[renew] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -o yaml'
[renew] Error reading configuration from the Cluster. Falling back to default configuration

certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself renewed
certificate for serving the Kubernetes API renewed
certificate the apiserver uses to access etcd renewed
certificate for the API server to connect to kubelet renewed
certificate embedded in the kubeconfig file for the controller manager to use renewed
certificate for liveness probes to healthcheck etcd renewed
certificate for etcd nodes to communicate with each other renewed
certificate for serving etcd renewed
certificate for the front proxy client renewed
certificate embedded in the kubeconfig file for the scheduler manager to use renewed

Done renewing certificates. You must restart the kube-apiserver, kube-controller-manager, kube-scheduler and etcd, so that they can use the new certificates.

8、重启相关服务

[root@master bin]# docker ps | grep -v pause | grep -E "etcd|scheduler|controller|apiserver" | awk '{print $1}' | awk '{print "docker","restart",$1}' | bash
3af36fb43da0
6ff7681f2556
91eaaacf2664
b886b4e5f623

9、确认证书时间

这里图上看是9年有肯能是时间取整了的原因

k8s证书过期问题

 

 可以使用基本管理命令了

k8s证书过期问题

 


推荐阅读
  • controller

    Kubernetes 组件时区调整指南

    本文详细介绍了如何在Kubernetes集群中调整etcd、apiserver、controller-manager、scheduler等核心组件以及kube-proxy和coredns的时区设置方法。 ... [详细]
  • default

    深入解析 RuntimeClass 及多容器运行时应用

    深入解析 RuntimeClass 及多容器运行时应用
    本文旨在探讨RuntimeClass的起源、功能及其在多容器运行时环境中的实际应用。通过详细的案例分析,帮助读者理解如何在Kubernetes集群中高效管理不同类型的容器运行时。 ... [详细]
  • default

    android知识杂记(三)

    andr ... [详细]
  • version

    Windows环境下部署Kubernetes Dashboard指南

    Windows环境下部署Kubernetes Dashboard指南
    本指南详细介绍了如何在Windows系统中部署Kubernetes Dashboard,包括下载最新配置文件、修改服务类型以支持NodePort访问、下载所需镜像并启动Dashboard服务等步骤。 ... [详细]
  • ip

    Kubernetes Pod基础及其分类详解

    本文深入探讨了Kubernetes中Pod的基础概念及其分类,旨在帮助读者更好地理解和利用这一核心组件。通过详细的解析,我们将了解Pod如何作为最小的部署单元在Kubernetes集群中工作。 ... [详细]
  • client

    Kubernetes 实践指南:初次体验

    Kubernetes 实践指南:初次体验
    本文介绍了如何通过官方提供的简易示例,快速上手 Kubernetes (K8S),并深入理解其核心概念和操作流程。 ... [详细]
  • list

    Unity 客户端框架设计:UI管理系统的构建

    本文详细介绍了如何构建一个高效的UI管理系统,集中处理UI页面的打开、关闭、层级管理和页面跳转等问题。通过UIManager统一管理外部切换逻辑,实现功能逻辑分散化和代码复用,支持多人协作开发。 ... [详细]
  • default

    如何顺利使用Eclipse进行Struts开发

    作为一名新手,您可能会在初次尝试使用Eclipse进行Struts开发时遇到一些挑战。本文将为您提供详细的指导和解决方案,帮助您克服常见的配置和操作难题。 ... [详细]
  • cookie

    如何在PHPCMS V9中实现多站点功能并配置独立域名与动态URL

    如何在PHPCMS V9中实现多站点功能并配置独立域名与动态URL
    本文介绍如何在PHPCMS V9中创建和管理多个站点,包括配置独立域名、设置动态URL,并确保各子站能够正常运行。我们将详细讲解从新建站点到最终配置路由的每一步骤。 ... [详细]
  • list

    深入解析Netty中的Future机制

    本文详细探讨了Netty中Future及其子类的设计与实现,包括其在并发编程中的作用和具体应用场景。我们将介绍Future的继承体系、关键方法的实现细节,并讨论如何通过监听器和回调机制来处理异步任务的结果。 ... [详细]
  • list

    使用 NSTimer 实现倒计时功能

    本文介绍如何使用 NSTimer 实现倒计时功能,详细讲解了初始化方法、参数配置以及具体实现步骤。通过示例代码展示如何创建和管理定时器,确保在指定时间间隔内执行特定任务。 ... [详细]
  • default

    利用存储过程构建年度日历表的详细指南

    利用存储过程构建年度日历表的详细指南
    本文将介绍如何使用SQL存储过程创建一个完整的年度日历表。通过实例演示,帮助读者掌握存储过程的应用技巧,并提供详细的代码解析和执行步骤。 ... [详细]
  • list

    Apache Jena 中 Txn.executeWrite 方法详解与代码示例

    本文详细介绍了 Apache Jena 库中的 Txn.executeWrite 方法,通过多个实际代码示例展示了其在不同场景下的应用,帮助开发者更好地理解和使用该方法。 ... [详细]
  • list

    使用Vultr云服务器和Namesilo域名搭建个人网站

    使用Vultr云服务器和Namesilo域名搭建个人网站
    本文详细介绍了如何通过Vultr云服务器和Namesilo域名搭建一个功能齐全的个人网站,包括购买、配置服务器以及绑定域名的具体步骤。文章还提供了详细的命令行操作指南,帮助读者顺利完成建站过程。 ... [详细]
  • post

    深入探讨配置文件的管理与优化

    深入探讨配置文件的管理与优化
    尽管配置文件的重要性不言而喻,但其管理和安全性问题却常被忽视。本文将详细讨论配置文件的不同管理策略及其优缺点。 ... [详细]
author-avatar
温恭凯364092
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有