12. Rancher Kubernetes 组件-过期 Webhook 证书轮换故障排除

RancherKubernetes中webhook证书过期处理与轮换方法
原创 于 2024-05-21 14:39:01 发布 · 663 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#rancher #kubernetes #容器

Rancher Kubernetes 组件图

过期 Webhook 证书轮换

如果你的 Rancher 版本安装了 rancher-webhook,某些版本创建的证书将在一年后过期。如果证书未续订,你需要轮换你的 webhook 证书。

在 Rancher v2.6.3 及更高版本中,rancher-webhook deployments 将在到期日期后 30 天或更短的时间内自动更新其 TLS 证书。如果你使用的是 v2.6.2 或更低版本,你可以通过下面两种方法来解决这个问题。

1. 如果用户具有集群访问权限,运行以下命令:
kubectl delete secret -n cattle-system cattle-webhook-tls
kubectl delete mutatingwebhookconfigurations.admissionregistration.k8s.io --ignore-not-found=true rancher.cattle.io
ku
最低0.47元/天 解锁文章
rancher 轮换证书
IT老男孩
01-20 1198
本文永久链接: https://www.xtplayer.cn/rancher/cert/rancher-rotate-cert/警告 如果您的证书已经过期,请先不要升级 Rancher Server,根据 证书过期导致无法连接 k8s 进行处理。默认情况下,Kubernetes 集群使用 ssl 证书来加密通信,Rancher 自动为集群生成证书。在 Rancher v2.0.14、v2.1....
更换rancher证书
个人成长的轨迹记录
11-14 938
rancher控制台的https证书有效期一年,到期后需要手动更新证书。当rancher证书过期后,会导致rancher控制台无法访问的问题。
rancher2.5.9 提示证书过期问题
千湖
09-16 2297
rancher2.5.9 证书过期,ui界面更新无效解决办法
Linux下使用curl命令访问https问题
jacklin_01的博客
09-10 8425
用curl访问htttps网址报错证书过期或者证书不对 curl https://localhost/web/aaa.php curl: (60) Peer certificate cannot be authenticated with known CA certificates More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate verification by defaul
rancher-webhook x509: certificate has expired or is not yet valid
小单的博客专栏
12-14 1236
本文一张图陈述了全文内容,可以右键在新窗口打开查看清晰图: (END)
1. Rancher Kubernetes 组件-etcd 节点故障排除
05-21 1338
Rancher Kubernetes 组件图。etcd 节点故障排除,本文介绍了对具有etcd角色的节点进行故障排除的命令和提示。
5. Rancher Kubernetes 组件-Kubernetes 资源故障排除
05-21 945
Kubernetes 资源,本文列出的命令/步骤可用于检查最重要的 Kubernetes 资源,并应用于Rancher 启动的 Kubernetes集群。
9. Rancher Kubernetes 组件-注册集群故障排除
05-21 781
Rancher Kubernetes 组件图。注册集群,本文列出的命令/步骤可用于检查你正在注册或已在 Rancher 中注册的集群。
3. Rancher Kubernetes 组件-nginx-proxy 故障排除
05-21 288
nginx-proxy 故障排除,每个没有controlplane角色的节点上都部署了nginx-proxy容器
通过 Rancher webhook 实现服务自动升级
11-12
上期我们讲述了如何通过Rancher webhook微服务实现Service/Host的弹性伸缩.这期我们再来讲一下通过Rancher webhook对接三方的CI系统,如何实现微服务服务镜像的自动构建与升级。 PS: CI即持续集成,包括但不限于自动编译、发布和测试、自动构建,我们这里说的CI系统仅限于自动构建这一步。 上期已经对webhook做了介绍,这里不再讲解,整个升级流程如下图所示:
如何通过Rancherwebhook微服务实现Service/Host的弹性伸缩
02-25
结合大家CICD的应用场景,本篇Blog旨在介绍如何通过Rancherwebhook微服务来实现Service/Host的弹性伸缩。ServiceScale创建example服务对象。创建servicescalewebhook对象。第三方触发webhook,完成service弹性伸缩。HostSacle通过阿里云machinedriver创建实例对象,打上scale-up标签。创建hostscalewebhook对象。第三方触发webhook,完成host弹性伸缩。Rancherwebhook的服务流程大致如下:WebhookDriver(WD)初始化。RouterHandler(RH)初始
Rancher 2.4.x 单容器证书过期&证书轮换方法
Task深水炸弹
05-24 2045
Rancher 2.4.x 官方文档之证书轮换 https://rancher2.docs.rancher.cn/docs/rancher2/cluster-admin/certificate-rotation/_index/ 错误现象: 通过观察可以看到,很明显的有证书过期的字样,且6443端口是apiserver监听的位置,所以考虑是集群证书过期,接下来要进行验证。 rancher_server_id=<rancher_server_container_id> docker exec .
rancher2.4.17证书过期了,处理方法
qq_759035366的博客
10-09 1195
然后去浏览器登录rancher,看看正常吗?如果正常,需要在rancher页面上执行证书更新操作,如果还是不行就需要如下的操作。
Rancher 更新过期证书
小康子的博客
08-26 1813
问题描述: Rancher UI 页面打不开,查看容器状态,显示 rancher agent 一直重启。 查看 agent 容器日志显示与 server 连接失败 server-ip:443 connection refused 查看 server 日志显示 X509 证书失效。 解决方法 1. 调整服务器日期 将服务器时间同步服务关闭,调整系统日期提前到证书有效期内,然后打开 UI 页面进行证书更新。 2. 按照官方文档进行证书轮换 官方文档地址 # 进入 server 容器 docker exe.
重要提醒 | 手动轮换Rancher Kubernetes集群的证书
cenmeng8703的博客
07-01 1215
Kubernetes集群通常使用ssl证书来加密通信,Rancher会自动为集群生成证书。在Rancher v2.0.14、v2.1.9之前的版本,Rancher配置集群的自动生成证书的有效期为1年,这意味着如果您在大约1年前使用这些版本创建了Rancher配置集群,那么您需要尽快开始轮换证书,否则证书过期后集群将进入错误状态。轮换证书是一次性操作,新生成的证书有效期为10年...
rancher16 通过 webhook 自动升级服务
IT老男孩
01-06 1237
本文永久链接: https://www.xtplayer.cn/rancher/rancher16-webhook-auto-update/概述前面的文章我们有讲述了如何通过 Rancher-webhook 实现 Service/Host 的弹性伸缩。今天我们再来演示一下如何通过 Rancher-webhook 对接三方的 CI 系统,实现微服务镜像的自动构建与服务的自动升级。PS: CI 即持续...
Rancher2.5.9版本证书更新
Outsider_in的博客
08-23 978
Rancher2.5.9版本证书更新
使用Rancher webhook实现弹性扩容缩容
丁丁爸爸的技术博客
11-18 3898
使用Rancher webhook实现弹性扩容缩容   实验目标: 学会使用Rancher中的Webhook,实现Rancher应用服务的扩容或缩容。   实验过程: 通过在Rancher中创建webhook,获取扩容或缩容的HTTP API网址,然后通过curl工具发送HTTP POST请求,实现扩容或缩容。 (也可以使用其他能够发送HTTP POST请求的工具来验证,比如Fi
webhook证书管理
fayeestone的博客
07-29 2635
简介 在kubernetes中,为了保证安全要求必须使用https协议访问webhook服务器。这里就会涉及到TLS证书问题,介绍TLS证书的资料很多,基本原理就是通过公钥和私钥验证通信双方的合法身份。在使用operator SDk开发中webhook默认使用名字为webhook-server-cert的secret提供TLS证书。详细内容可以查看配置文件config/default/manager_webhook_patch.yaml中下面部分: ... volumes: - name: cert s
Rancher容器证书过期&证书轮换方法
最新发布
09-04
Rancher容器证书过期的处理方法如下: 进入rancher server容器,执行相关操作: ```bash docker exec -it rancher /bin/sh kubectl --insecure-skip-tls-verify -n kube-system delete secrets k3s-serving kubectl --insecure-skip-tls-verify delete secret serving-cert -n cattle-system rm -f /var/lib/rancher/k3s/server/tls/dynamic-cert.json ``` 请求刷新参数: ```bash curl --insecure -sfL https://localhost:8443/v3 ``` 重启rancher server容器: ```bash docker restart rancher ``` 此过程可解决单容器rancher证书过期问题,若为2.2版本的rancher证书过期,docker会频繁重启报错,使用上述方法也可解决相关问题 [^3][^5]。 Rancher证书轮换方法: 默认情况下,Kubernetes集群所需要的证书Rancher生成,若出现证书过期证书泄露等情况,需要使用新的证书轮换掉有问题的证书轮换证书后,Kubernetes组件将自动重新启动。在Rancher v2.6.3及更高版本中,rancher - webhook deployments将在到期日期后30天或更短的时间内自动更新其TLS证书。若使用的是v2.6.2或更低版本,若用户具有集群访问权限,可运行以下命令: ```bash kubectl delete secret -n cattle-system cattle-webhook-tls kubectl delete mutatingwebhookconfigurations.admissionregistration.k8s.io --ignore-not-found=true rancher.cattle.io kubectl delete pod -n cattle-system -l app=rancher-webhook ``` 此外,Rancher 2.4.x单容器证书轮换可参考官方文档:https://rancher2.docs.rancher.cn/docs/rancher2/cluster-admin/certificate-rotation/_index/ [^1][^2][^4]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

K8S解决方案

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值