Rancher2.6.2证书更新--有坑需要注意

已于 2023-04-07 15:30:00 修改
阅读量1.2k 收藏 2
点赞数
文章标签: docker kubernetes 容器
于 2023-04-07 15:16:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/laijianzong/article/details/130012981
版权
Rancher2.6.2版本及更低不支持证书自动轮换,需手动更新webhook证书以避免过期导致的问题。过期证书将影响Webhook功能及创建用户、授权等操作。更新步骤包括删除旧证书、重启Rancher容器以及验证新证书的有效性。对于Rancher2.6.3及以上版本,证书会自动更新。此外,建议手动备份etcd数据。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

坑写在前面吧,Rancher2.6.2或一下版本的证书不会自动轮换,官网有rke轮换的方法,切记要看清楚版本再操作~~证书管理 | Rancher文档

过期 Webhook 证书轮换 | Rancher Manager

使用的 rancher出现 Internal error occurred: failed calling webhook "rancherauth.cattle.io": Post "https://rancher-webhook.cattle-system.svc:443/v1/webhook/validation?timeout=10s": x509: certificate has expired or is not yet valid: current time

无法创建用户、授权及创建新环境

 

Rancher 中的 rancher-webhook,2.6.2及以下版本创建的证书将在一年后过期。证书不会自动更新,需要手动更新webhook 证书。

 Rancher v2.6.3 及更高版本中,rancher-webhook deployments 则会在到期前 30 天或更短的时间内自动更新其 TLS 证书。

更新前手动备份etcd

 示例场景 | Rancher文档   rancher默认自动会有etcd的备份,默认配置是12小时备份一次,存放位置:/opt/rke/etcd-snapshots/

更新步骤

kubectl delete secret -n cattle-system cattle-webhook-tls
kubectl delete mutatingwebhookconfigurations.admissionregistration.k8s.io --ignore-not-found=true rancher.cattle.io
kubectl delete pod -n cattle-system -l app=rancher-webhook


本方法使用于单节点部署的rancher及rke部署的rancher,通用方法

示例场景 | Rancher文档

验证是否更新 

rancher server的证书有效期是一年,在一年后,rancher server会报证书过期。通过下面的方式你可以创建新的证书。

​
export RANCHER_CONTAINER_NAME=d959a73b2c57

docker stop $RANCHER_CONTAINER_NAME

docker start $RANCHER_CONTAINER_NAME

docker exec -it $RANCHER_CONTAINER_NAME sh -c "mv k3s/server/tls k3s/server/tls.bak"

docker logs --tail 3 $RANCHER_CONTAINER_NAME

2022/11/15 08:14:15 [INFO] Waiting for server to become available: Get " https://127.0.0.1:6443/version?timeout=15m0s": x509: certificate signed by unknown authority

2022/11/15 08:14:17 [INFO] Waiting for server to become available: Get " https://127.0.0.1:6443/version?timeout=15m0s": x509: certificate signed by unknown authority

2022/11/15 08:14:19 [INFO] Waiting for server to become available: Get " https://127.0.0.1:6443/version?timeout=15m0s": x509: certificate signed by unknown authority

docker stop $RANCHER_CONTAINER_NAME

docker start $RANCHER_CONTAINER_NAME

​

小猪快跑~~
关注
Rancher证书问题解决方案-重新安装修复
HackDashX的博客
08-13 805
然而,在使用Rancher时,有时会遇到客户端证书错误的问题,其中一种常见的错误是"x509: certificate signed by unknown authority"(由未知授权者签署的证书)。在开始之前,请确保你已经按照Rancher的官方文档正确安装了Rancher,并且已经使用了自签名或授权的证书。然后,使用Rancher的Web界面导入证书Rancher的数据存储在指定的数据目录中,我们需要删除该目录。请注意,这将永久删除Rancher的所有数据,请确保你已经备份了重要数据。
使用Rancher部署K8S时需要注意的软件版本问题
丁丁爸爸的技术博客
08-29 6128
要想稳定地、顺畅地使用Rancher部署K8S,软件版本需求为: Ubuntu 16.04.3 LTS(内核4.4.0以上),Docker 1.12.3,K8S v1.6.6Rancher v1.6.5
Rancher Server 证书更新
weixin_60092693的博客
02-13 676
实验测试
Rancher证书到期致使平台无法浏览故障解决
最新发布
qq_27276663的博客
03-10 192
关闭ntp同步,防止时间自动更新回来。1、修改系统时间,停止时间滚动更新
Rancher证书更新
weixin_51720711的博客
03-25 3039
一、环境 主机名 IP地址 操作系统 rancher版本 K8s-Master 192.168.10.236 Centos 7 2.5.9 二、更新证书 1、查看当前证书到期时间 2、进行证书轮换 [root@K8s-Master ~]# docker ps |grep rancher/rancher d581da2b7c4e rancher/rancher:v2.5.9 "entrypoint.sh" 2
更换rancher证书
个人成长的轨迹记录
11-14 735
rancher控制台的https证书有效期一年,到期后需要手动更新证书。当rancher证书过期后,会导致rancher控制台无法访问的问题。
Rancher2.5.9版本证书更新
Outsider_in的博客
08-23 886
Rancher2.5.9版本证书更新
rancher 2.6.3 webhook
09-01
- *1* *2* *3* [Rancher2.6.2证书更新--需要注意](https://blog.csdn.net/laijianzong/article/details/130012981)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...
java 调用 k8s api_k8s api(官方api)调用(java版)
weixin_42465953的博客
03-05 3589
获取API在GitHub上找到该项目 https://github.com/kubernetes-client/java/下载到Maven仓库在maven仓库的文件夹里面执行下面代码git clone --recursive https://github.com/kubernetes-client/javacd javamvn install这样在maven就可以直接导入给项目(可以在在maven...
Docker构建harbor+IDEA,一篇文章就够了
m0_56388745的博客
12-23 1911
. Docker介绍. 一帮年轻人,开了一家公司,从2010年的时候开始paas平台. 当时发现的及其好. 到了2013年的时候,像亚马逊,微软,谷歌都开始作paas平台. 同年2013年,将他们的核心技术开源, 这个核心技术就是Docker. 到了2014年,得到了C轮的融资.$4000W. 到了2015年,得到了D轮的融资.$9500W. 全神贯注的开始维护Docker. Docker主要作者之一. 所罗门. Docker的作者已经离开了维护Docker的团队,所罗门离开的主要原因,是朋友的公司,缺
基于Docker+Kubernetes,微服务容器化开发实战
m0_71777195的博客
08-23 544
1.2.1 单体架构的特点1.2.2 单体架构的优点1.2.3 单体架构的缺点。
rancher2.4.17证书过期了,处理方法
qq_759035366的博客
10-09 935
然后去浏览器登录rancher,看看正常吗?如果正常,需要在rancher页面上执行证书更新操作,如果还是不行就需要如下的操作。
docker部署rancher证书过期问题解决方案
04-24
docker部署rancher证书过期问题解决方案,网上有挺多解决方案,基本都是一部分一部分的,不连续
修复 Rancher 2.5.x 内部证书过期导致无法启动的顽疾
无限进步
04-28 1781
# 停止 Rancher 容器 docker stop rancher2 # 安装 etcd https://guoyk93-generic.pkg.coding.net/acicn-mirror/generic/9889e169-etcd-v3.4.3-linux-amd64.tar.gz # 找到 Rancher 在主机上映射的持久化目录 /data/rancher2-data/ # 删除 Rancher 持久化目录中的 tls 目录 rm -rf k3s/server/tls # 启动独立的 et
rancher2.6.2 单机及高可用部署
qq_34341457的博客
12-26 2616
rancher2.6.2 单机及高可用部署
rancher生成证书
进行中
02-09 524
ingress证书
rancher证书过期怎么办
运维@小兵的博客
12-17 5443
查看证书日期 find / -name '*client-ca.crt' -type f cd /data/docker/volumes/d5c55bbfc477cc744ec4b7ba2361c26b3bc5c814ee9e79e7205207b02d278bdd/_data/k3s/server/tls/ for i in ls /var/lib/rancher/k3s/server/tls/*.crt; do echo $i; openssl x509 -enddate -noout -in $i
Rancher 更新过期证书
小康子的博客
08-26 1675
问题描述: Rancher UI 页面打不开,查看容器状态,显示 rancher agent 一直重启。 查看 agent 容器日志显示与 server 连接失败 server-ip:443 connection refused 查看 server 日志显示 X509 证书失效。 解决方法 1. 调整服务器日期 将服务器时间同步服务关闭,调整系统日期提前到证书有效期内,然后打开 UI 页面进行证书更新2. 按照官方文档进行证书轮换 官方文档地址 # 进入 server 容器 docker exe.
12. Rancher Kubernetes 组件-过期 Webhook 证书轮换故障排除
05-21 536
Rancher Kubernetes 组件图。如果你的 Rancher 版本安装了rancher-webhook,某些版本创建的证书将在一年后过期。如果证书未续订,你需要轮换你的 webhook 证书
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值