访问k8s集群出现Unable to connect to the server: x509: certificate is valid for xxx, not xxx问题解决【详细步骤】

原创 已于 2023-04-16 23:06:32 修改 · 1w 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #linux #运维 #kubernetes

于 2021-12-27 10:44:55 首次发布

笔者配置好k8s集群之后,兴奋地发给一位远程工作地同事进行测试,该同事通过vpn连入我的服务器,再通过该服务器执行kubectl命令,结果出现了标题中的错误。原因是通过vpn接入的时候,服务器的地址就不是原来的内网地址了,因此需要针对该vpn地址进行授权。授权流程如下

查看apiserver证书

openssl x509 -noout -text -in apiserver.crt|grep DNS
                DNS:debian-1, DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster.local, IP Address:10.96.0.1, IP Address:192.168.1.195

证书中没有所需的ip地址

删除旧apiserver证书

cd /etc/kubernetes/pki
rm apiserver.*

生成新apiserver证书

kubeadm init phase certs apiserver --apiserver-advertise-address ${apiserver-ip1} --apiserver-cert-extra-sans ${apiserver-ip2} --apiserver-cert-extra-sans ${apiserver-ip3}

上边的命令中${apiserver-ip1} ${apiserver-ip2} ${apiserver-ip3}根据自己集群的实际情况进行调整。如果需要增加更多的地址,可以继续在命令里增加 --apiserver-cert-extra-sans ${apiserver-ip}参数。

此时可以看到生成了新的apiserver证书。

ls apis
最低0.47元/天 解锁文章
k8s master 节点修改 ip 地址后,calico 提示:Get _http url__ x509_ certificate is valid for xxx, not xxx
甘蓝的专栏
01-05 583
提供k8s修改master ip后,calico提示证书无效的排查思路
Spark简介以及Spark-on-K8S部署
最新发布
寂夜了无痕的博客
11-12 160
Spark简介以及Spark-on-K8S部署
k8s v1.16.3,Unable to connect to the server: x509: certificate has expired or is not yet valid
牛奔的博客
03-27 894
前言 kubernetes 版本为 v1.16.3 使用 kubelet get node 后报错: x509: certificate has expired or is not yet valid ,提示证书过期。 解决 检查证书何时过期 kubeadm alpha certs check-expiration CERTIFICATE EXPIRES ...
K8S 常见问题Unable to connect to the server_ x509_ certificate is valid for 问题解决
srebro.cn | 运维小弟
09-06 1443
k8s的apiserver 需要暴露在公网给阿里云的云效托管使用,之前在部署K8S签发证书的时候,写的是内网的地址,,默认情况下,kubernetes自建的CA会为apiserver签发一个证书,证书的默认可访问的是内网IP、kuberneteskubernetes.default kubernetes.default.svc、kubernetes.default.svc.cluster.local,不包含设备的外网IP。所以直接通过admin.conf去访问kubernetes是不可能的。
解决k8s集群 Unable to connect to the server: x509: certificate is valid for xxx, not xxx问题
weixin_39518516的博客
08-01 2136
为了能使本地能连接k8s集群更好的测试client-功能,在服务器上为本地签发了kubeconfig文件,放到本地之后出现如下的错误。从上面可以看出ip中并没有报错信息中的192.168.2.8这个IP地址,所以需要重新生成(截图为修改好的)。1、查看apiserver证书信息(master节点)为了保险起见,这里选择将证书移动到其他位置。3、生成新的apiserver证书。
K8S异常之Unable to connect to the server: x509: certificate has expired or is not yet valid
热门推荐
一掬净土
01-03 1万+
K8S异常之Unable to connect to the server: x509: certificate has expired or is not yet valid
查看k8s证书过期时间:各组件
学亮编程手记
02-22 5254
[root@k8s-n0 kuboard-install]# kubeadm alpha certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml' [check-expi
k8s笔记8--快速部署k8s集群 v1.19.4--calico网络
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
01-24 1972
@[TOC](k8s笔记8–快速部署k8s集群 v1.19.4( calico网络)) 1 说明 k8s 部署的时候可以选择多种cni插件,每种插件都有其对应的特殊,最经典的的莫过于 Flannel 和 Calico。 Flannel 是一个为 Kubernetes 提供叠加网络的网络插件,它基于 Linux TUN/TAP,使用 UDP 封装 IP 报文来创建叠加网络,并借助 etcd 维护网络的分配情况 。其后端支持VxLAN、host-gw和UDP,默认为VxLAN(在三层构建了一个大二层网络)。 C
Docker集群管理工具-Kubernetes1.10.6(k8s)四节点集群使用kubeadm部署流程(一)
qq_24513043的博客
09-06 2746
一:Kubernetes介绍 1: Kubernetes是什么 Kubernetes是Google开源的容器集群管理系统,是基于Docker构建一个容器的调度服务,提供资源调度、均衡容灾、服务注册、动态扩缩容等功能套件。 Kubernetes提供应用部署、维护、 扩展机制等功能,利用Kubernetes能方便地管理跨机器运行容器化的应用,其主要功能如下: 1) 使用Docker对应用程...
Unable to connect to the server: x509: certificate is valid for问题解决
doublepg13的博客
10-23 4119
我们的kubernetes的apiserver-advertise-address是一个内网IP,默认情况下,kubernetes自建的CA会为apiserver签发一个证书,证书的默认可访问的是内网IP、kuberneteskubernetes.default kubernetes.default.svc、kubernetes.default.svc.cluster.local,不包含设备的外网IP。通过如下命令查看kubernetes的admin.conf中的证书的有效期,看是否有效。
Unable to connect to the server: x509: certificate has expired or is not yet valid
weixin_54104864的博客
06-15 7077
【代码】Unable to connect to the server: x509: certificate has expired or is not yet valid
Unable to connect to the server: x509: certificate
喝醉酒的小白
08-22 355
【代码】Unable to connect to the server: x509: certificate
搭建kubernetes1.20报错解决Unable to connect to the server: x509
一叶的博客
04-06 3873
当我搭建好kubernetes1.20后重启虚拟机,查看node状态 kubectl get nodes 报错:Unable to connect to the server: x509: certificate signed by unknown authority (possibly because of "crypto/rsa: verification error" while trying to verify candidate authority certificate "kubernet
[MicroK8s] Unable to connect to the server: x509: certificate has expired or is not yet valid 问题定位案例
pcj_888的博客
09-05 1681
如题
实测:重启服务器之后k8s启动失败报错Unable to connect to the server:x509: certificate has expired or is not yet valid
sfdst的博客
03-07 7654
文章目录1 问题描述(kubeadm证书/etcd证书过期处理)2 集群恢复方法3 手动替换apiserver证书3.1 备份证书和配置3.2 自备的kube-config.yaml文件4 通过脚本一键更新证书(本次通过脚本更新证书)5 启用自动轮换kubelet证书5.1 增加kubelet参数5.2 增加controller-manager参数5.3 创建rbac对象 1 问题描述(kubeadm证书/etcd证书过期处理) 重启了服务器,发现k8s启动失败,一直报错连接 Unable to regis
k8s unable to connect to the server: x509: certificate is valid for 10.96.0.
04-29
这个错误是k8s无法连接到服务器的错误,原因是证书只对特定的IP地址有效,而连接服务器时使用了其他的IP地址。这通常是由于服务器上的证书没有正确生成造成的。证书是用于验证服务器身份并确保安全通信的一种数字证明文件。在这种情况下,证书中包含的IP地址应该是服务器的IP地址。如果客户端尝试连接到不正确的IP地址或主机名,就会出现错误。 解决问题的最好方法是重新生成证书并确保在证书中包含正确的IP地址。管理员可以通过以下步骤解决问题: 1. 查找证书,并确认证书中的IP地址是否正确。 2. 如果证书包含正确的IP地址,请确保客户端使用正确的IP地址连接到服务器。 3. 如果证书中的IP地址不正确,可以使用openssl重新生成证书,并在证书中包含正确的IP地址。以下是重新生成证书的步骤: a. 生成一个秘钥文件: openssl genrsa -out server.key 2048 b. 生成证书签名请求: openssl req -new -key server.key -out server.csr c. 在证书中添加IP地址: 在请求文件server.csr中包含以下信息: subjectAltName = IP: <IP地址> d. 使用请求文件和秘钥生成证书: openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 3650 4. 更新证书后,重新连接服务器即可。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值