【K8s】专题十一:Kubernetes 集群证书过期处理方法

已于 2024-09-20 13:41:22 修改
阅读量2.2k 收藏 4
点赞数 67
CC 4.0 BY-SA版权
分类专栏: Kubernetes 文章标签: kubernetes 云原生 容器
于 2024-08-12 16:45:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_82795112/article/details/141037021

本文内容均来自个人笔记并重新梳理,如有错误欢迎指正!

如果对您有帮助,烦请点赞、关注、转发、订阅专栏!

专栏订阅入口

Linux 专栏 | Docker 专栏 | Kubernetes 专栏

往期精彩文章

【Docker】(全网首发)Kylin V10 下 MySQL 容器内存占用异常的解决方法

【Docker】(全网首发)Kylin V10 下 MySQL 容器内存占用异常的解决方法(续)

【Docker】MySQL 源码构建 Docker 镜像(基于 ARM 64 架构)

目录

一、背景介绍

二、相关概念

三、处理过程

1、备份证书

2、检测证书

3、更新证书

4、更新 Kubeconfig

5、重启服务

6、验证效果

一、背景介绍

使用 kubeadm 安装的 Kubernetes 集群,运行一段时间后执行 kubectl 命令突然出现以下报错:

Unable to connect to the server: x509: certificate has expired or is not yet valid: current time 2023-09-22T15:05:09+08:00 is after 2023-09-20T04:04:02Z

报错原因是 Kubernetes 集群证书已经过期(默认有效期 365 天),处理方法是对 Kubernetes 集群证书进行更新以重置有效期,本文将介绍单节点集群环境的具体处理过程。

二、相关概念

Kubernetes 集群证书是用于在 Kubernetes 集群中实现安全通信的关键组件,主要用于在集群的各个组件之间建立信任和进行身份验证。

Kubernetes 集群证书包括:

  • CA(证书颁发机构)证书:用于签名其他证书,是信任链的根
  • API Server 证书:用于 API Server 的 TLS 认证
  • kubelet 证书:用于 kubelet 与 API Server 之间的通信
  • kube-proxy 证书:用于 kube-proxy 与 API Server 之间的通信
  • etcd 证书:用于 etcd 集群内部节点之间的通信
  • 服务账户证书:用于服务账户与 API Server 之间的通信

kubeadm 是 Kubernetes 集群的启动和初始化工具,它在创建集群时生成 Kubernetes 集群证书,并默认设置有效期为一年。

三、处理过程
1、备份证书
cd /etc/kubernetes && mkdir bak && cp -r pki *.conf bak

2、检测证书
  • 检测 Master 节点组件证书
# kubeadm 20 之前的版本使用本命令
kubeadm alpha certs check-expiration

# kubeadm 20 之后的版本使用本命令
kubeadm certs check-expiration

  • 检测 Node 节点 kubelet 证书
openssl x509 -in /var/lib/kubelet/pki/kubelet-client-current.pem -noout -dates

3、更新证书
  • 更新 Master 节点组件证书
# kubeadm 20 之前的版本使用本命令
kubeadm alpha certs renew all

# kubeadm 20 之后的版本使用本命令
kubeadm certs renew all

🔔 有效期将被重置为 365 天

  • 更新 Node 节点 kubelet 证书
# 生成新的私钥和 CSR
openssl genrsa -out /var/lib/kubelet/pki/kubelet-client.key 2048
openssl req -new \
-key /var/lib/kubelet/pki/kubelet-client.key \
-out /var/lib/kubelet/pki/kubelet-client.csr \
-subj "/CN=system:node:<node-name>/O=system:nodes"

# 使用 CA 签发新证书
openssl x509 -req \
-in /var/lib/kubelet/pki/kubelet-client.csr \
-CA /etc/kubernetes/pki/ca.crt \
-CAkey /etc/kubernetes/pki/ca.key -CAcreateserial \
-out /var/lib/kubelet/pki/kubelet-client-$(date +%F).pem \
-days 36500

# 更新证书
ln -sf /var/lib/kubelet/pki/kubelet-client-$(date +%F).pem /var/lib/kubelet/pki/kubelet-client-current.pem

4、更新 Kubeconfig
cd ~/.kube && mv config config-bak
yes | cp /etc/kubernetes/admin.conf config

🔔 若不更新 Kubeconfig,执行 kubectl 命令会出现报错:error: You must be logged in to the server (Unauthorized)

5、重启服务
# 重启 kubelet 服务
systemctl restart kubelet

# 重启 kube-apiserver、kube-controller-manage、kube-scheduler 容器
docker ps | grep kube-apiserver | grep -v pause | awk '{print $1}' | xargs -i docker restart {}
docker ps | grep kube-controller-manage | grep -v pause | awk '{print $1}' | xargs -i docker restart {}
docker ps | grep kube-scheduler | grep -v pause | awk '{print $1}' | xargs -i docker restart {}

🔔 使用 kubeadm 安装的集群,Master 节点的核心组件都是以静态 Pod 的方式运行的,因此重启服务可以采用重启对应容器的方式

6、验证效果

通过执行 kubectl  命令或检测证书,验证集群证书是否更新成功。

Kubernetes】关于K8s集群证书过期问题的处理过程记录
cnskylee的博客
09-28 3286
一个相对完整的思路,处理k8s集群证书过期问题。
Kubernetes集群证书过期处理:更新kubeadm生成的证书有效期为10年
TechBurst的博客
08-16 665
本文将介绍如何通过编程的方式修改kubeadm生成的证书有效期为10年,以确保持续的安全性和稳定性。我们首先创建了一个新的自签名CA证书,然后为每个组件生成了新的CSR,接着使用新的CA证书签署了新的证书,并最后更新了Kubernetes的配置文件。由于kubeadm生成的证书是由CA证书签名的,我们需要首先创建一个新的自签名CA证书,其有效期为10年。最后,我们需要更新Kubernetes的配置,以便使用新的证书。现在,我们将使用新的CA证书来签署新的证书。Step 3: 使用新的CA证书签署证书
k8s Client certificate is about to expire 客户端访问 APIServer 证书过期
m0_60696455的博客
11-12 4072
prometheus rule 客户端访问 APIServer 证书过期问题 KubeClientCertificateExpiration (1 active) name: KubeClientCertificateExpiration expr: apiserver_client_certificate_expiration_seconds_count{job="apiserver"} > 0 and on(job) histogram_quantile(0.01, sum by(j...
k8s 证书过期更新
最新发布
liwench的博客
05-27 168
目录。
K8S集群证书过期,一键修复指南 | 干货分享
weixin_38320674的博客
10-09 1723
在日常维护Kubernetes集群时,如果在安装的时候没有把证书设置足够长的时间,那运行一段时间k8s就会面临证书过期的问题。如果处理不及时,会导致kubectl命令无法使用,集群服务瘫痪。本文将详细讲解在k8s集群证书已经过期的情况下,如何检查和更新证书,有效延长证书的有效期,并确保集群恢复正常运行。通过几步操作,你可以轻松解决证书过期问题,避免实验环境或生产集群长时间宕机。一、检查证书状态首先...
kubernetes(1.23)证书过期如何续期
老段工作室
04-27 3045
通过kubeadm安装的kubernetes集群各个组件所使用证书的期限为1年,本实验练习的是到期之后如何续期。
k8s- kubernetes证书过期替换之kubeadm命令 certs renew all方式
liuyij3430448的博客
04-27 7379
**k8s集群之间的访问会使用到证书,如果使用kubeadm搭建的集群,默认CA证书的有效期为10年,其他组件访问证书的有效期为1年。如果过期后没有更新证书可能会引起k8s集群的不可用**
Kubernetes监控篇:kubernetes集群SSL证书监控实战(方案二)》
东城绝神
11-06 502
Kubernetes监控篇:kubernetes集群SSL证书监控实战(方案二)》
《手把手教你修复过期K8s集群证书:记一次K8s集群起死回生实录》
✨ 欢迎来到【Seal ^_^ 的优快云博客】!✨
05-27 3179
今天本想打开半年前部署的K8s测试集群跑个Demo,结果`kubectl`直接报错`certificate has expired`!作为一名云原生老司机,我决定把这次'抢救'过程记录下来,手把手带大家解决这个运维常见问题。
Cert-Manager:Kubernetes 集群中的证书管理利器
TechEnthusiast的博客
10-28 373
Cert-Manager 是一个开源的云原生证书管理工具,专为 Kubernetes 和 OpenShift 设计。它将 X.509 证书管理转化为声明式的 Kubernetes 资源,使得证书管理变得简单和自动化。
k8s证书过期处理方案
11-17
本文主要探讨的是针对kubeadm部署的Kubernetes集群证书过期处理流程。 首先,识别证书过期的标志是关键。当你尝试执行`kubectl`命令时,如果出现类似“Unable to connect to the server: x509: certificate has...
K8s证书过期处理
liangpangpangyo的博客
05-28 814
本地有一个1master2worker的k8s集群,今天启动VMware虚拟机之后发现api-server没有起来,docker一直退出,这个集群是使用kubeadm安装的。于是kubectl logs查看了日志,发现证书过期了。
K8S证书过期处理
李半仙
10-09 1341
K8S证书过期处理 一、查看证书过期时间 find /etc/kubernetes/pki/ -type f -name "*.crt" -print|xargs -L 1 -t -i bash -c 'openssl x509 -noout -text -in {}|grep After' 二、备份原来的配置文件和证书 find /etc/kubernetes/pki/ -regex '.*.[crt|key]'|grep -v sa|grep -v ca|xargs -i cp {} /opt/ 三
k8s证书过期处理
qq_45703375的博客
09-18 388
k8s证书过期处理
解决K8s证书过期问题
m0_52931616的博客
11-02 3780
解决K8s证书过期问题
K8s 集群(kubeadm) CA 证书过期解决方案
RAB
07-04 3504
K8s 集群(kubeadm) CA 证书过期解决方案。
解决k8s 证数过期
bangzhou8291的博客
09-29 418
https://www.cnblogs.com/aguncn/p/10488130.html    转载于:https://www.cnblogs.com/hanwei666/p/11605800.html
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

行者Sun1989

您的鼓励是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值