k8s kubeadm 1.20.15 证书更新

原创 已于 2022-03-28 16:56:00 修改 · 1.4k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器

于 2022-03-10 10:48:05 首次发布
本文介绍了如何获取kubeadm的版本信息,并展示了查看apiserver证书的方法。接着,详细说明了使用kubeadm进行证书更新的步骤,包括备份现有证书、执行更新命令及验证证书的有效性。通过这个过程,确保了Kubernetes集群的安全运行。

获取kubeadm 版本号

kubeadm version

kubeadm version: &version.Info{Major:"1", Minor:"20", GitVersion:"v1.20.15", GitCommit:"8f1e5bf0b9729a899b8df86249b56e2c74aebc55", GitTreeState:"clean", BuildDate:"2022-01-19T17:26:37Z", GoVersion:"go1.15.15", Compiler:"gc", Platform:"linux/amd64"}

查看apiserver证书

cd /etc/kubernetes/pki && openssl x509 -in apiserver.crt -text -noout

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 2741309662955592628 (0x260b169d47d05bb4)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=kubernetes
        Validity
            Not Before: Mar  8 12:25:05 2022 GMT
            Not After : Mar  8 12:25:05 2023 GMT

2022/3/8 到 2023/3/8 一年有效

更新证书: 找到安装的kubeadm-config.yaml文件

备份证书:cp -r /etc/kubernetes/pki/ /etc/kubernetes/pki.old

执行证书更新命令

kubeadm alpha certs renew all --config=/root/kubeadm-config.yaml

Command "all" is deprecated, please use the same command under "kubeadm certs"
certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself renewed
certificate for serving the Kubernetes API renewed
certificate the apiserver uses to access etcd renewed
certificate for the API server to connect to kubelet renewed
certificate embedded in the kubeconfig file for the controller manager to use renewed
certificate for liveness probes to healthcheck etcd renewed
certificate for etcd nodes to communicate with each other renewed
certificate for serving etcd renewed
certificate for the front proxy client renewed
certificate embedded in the kubeconfig file for the scheduler manager to use renewed

再次查看证书

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 8420588759439972080 (0x74dbf0dcce1116f0)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=kubernetes
        Validity
            Not Before: Mar  8 12:25:05 2022 GMT
            Not After : Mar 10 02:26:13 2023 GMT

证书失效日期为当前日加一年

kubeadm相关指令出现kubeadm-config无法找到的问题解决
为梦想奋斗
07-03 2087
问题的现象是凡是执行kubeadm相关的指令,如kubeadm upgrade plan等,都会出现类似以下的错误
kubeadm搭建的k8s集群证书过期处理
当世事再没完美,可远在岁月如歌中找你
03-24 1719
k8s 证书过期处理 注:kubeadm部署,k8s版本 1.18 [root@master ~]# kubeadm version kubeadm version: &version.Info{Major:"1", Minor:"20", GitVersion:"v1.20.0", GitCommit:"af46c47ce925f4c4ad5cc8d1fca46c7b77d13b38", GitTreeState:"clean", BuildDate:"2020-12-08T17:57:36Z"
kubelets 1.20 证书更新
Terry Tsang
06-23 533
更新 kubelet 证书
K8S证书更新
weixin_44784018的博客
03-01 658
备份原有文件 cp -rp /etc/kubernetes /etc/kubernetes.bak 查看证书过期时间 kubeadm alpha certs check-expiration 查看各证书过期时间 for item in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`;do openssl x509 -in $item -text -noout| grep Not;echo ======================$item==
基于kubeadm更新kubernetes证书
最新发布
sre救赎之路
09-22 1064
ssh 登录k8s集群随机master 节点执行,查看输出,只要 RESIDUAL TIME < 30 天,就建议提前续期,防止遗忘导致过期。那么当出现证书过期的时候,应该如何续期呢,下面就基于 kubeadm 安装的 kubernetes 集群做续期操作。证书更新后,需要重启相关的控制平面组件以加载新证书。,在完成一个 Master 节点的证书更新后,需要将更新证书文件(通常在。,并在每个节点上重复更新 kubeconfig 和重启组件的步骤。Master 节点上的证书更新是操作的核心,
k8s-18.6设置文件登录后kubectl命令报错解决
大鹅的博客
08-04 8960
K8S搭建完成在部署完metrics-server 插件后,会出现 执行任何的k8s管理命令报错的现象 例如 等等, 原因是k8s的认证文件被改变了,也就是admin.conf不通过 按顺序执行以下命令就好了 [root@k8s-master ~]# rm -rf $HOME/.kube [root@k8s-master ~]# export KUBECONFIG=/etc/kubernetes/admin.conf [root@k8s-master ~]# mkdir -p $HOME/.kube [
kubeadm初始化高可用k8s1.20.4集群-etcd集群独立在k8s集群外详细笔记资料包
06-27
Kubernetes,简称K8s,是目前最流行的容器编排系统,用于自动化容器化的应用程序部署、扩展和管理。kubeadm是Kubernetes提供的一种轻量级工具,用于简化集群的初始化和升级过程。本资料包重点讲解如何使用kubeadm...
k8s系列】Kubernetes v1.20.6集群安装
qq_43470282的博客
08-10 3382
iptables 模式在 v1.1 中就添加支持了,从 v1.2 版本开始 iptables 就是 kube-proxy 默认的操作模式,ipvs 和 iptables 都是基于netfilter的,但是ipvs采用的是hash表,因此当service数量达到一定规模时,hash查表的速度优势就会显现出来,从而提高service的服务性能。Swap是交换分区,如果机器内存不够,会使用swap分区,但是swap分区的性能较低,k8s设计的时候为了能提升性能,默认是不允许使用姜欢分区的。
《Kubernets证书篇:kubernetes1.20.6证书时间过期》
东城绝神
09-16 809
文章目录一、报错信息二、查看证书过期时间三、备份证书四、更新证书4.1、场景一:证书还未过期更新4.2、场景二:证书已经过期更新五、重启服务六、查看证书过期时间总结:整理不易,如果对你有帮助,可否点赞关注一下? 一、报错信息 如下图所示: 说明:如上图报错则表明kubernetes证书过期了,需要重新续签证书。 二、查看证书过期时间 kubeadm alpha certs check-expiration 如下图所示: 三、备份证书 注意:为了避免升级过程中出现问题,建议备份kuber
kubeadm初始化高可用k8s1.20.4集群资料包
06-27
Kubernetes,简称K8s,是目前最流行的容器编排系统,用于自动化容器化的应用程序部署、扩展和管理。kubeadm是Kubernetes提供的一种轻量级工具,它简化了在新机器上设置集群的过程,使得Kubernetes的部署更加便捷。本...
kubeadm初始化高可用k8s1.20.4集群-etcd集群独立在k8s集群外-kubernetes安装包和详细文档笔记整理
05-29
在本主题中,我们将深入探讨如何使用`kubeadm`工具来初始化一个高可用性的Kubernetes(k8s1.20.4集群,其中etcd集群独立于k8s集群之外运行。这对于确保数据存储的稳定性和可扩展性至关重要。etcd是Kubernetes的...
K8s1.20.15版本)部署(3master+2node)
weixin_45633353的博客
04-30 2251
注意每个节点的IP和网卡(interface参数)主要在三台master加入下面的yaml。五台机器配置hosts。配置不一样,注意区分。
k8s v1.14.11.20.8版本kubeadm编译,解决k8s证书一年有效期问题
u014486518的博客
01-30 895
编译kubeadm,初始化k8s集群,解决证书一年有效期问题
k8s证书更新
kali_yao的博客
02-21 7207
1.故障现象 k8s安装一年后证书显示过期。证书未自动续期。 2.更新过程 一下操作需到所有master节点操作 下载kubeadm 一般情况下,k8s创建的集群节点上的/usr/bin/文件夹下会存在kubeadm二进制文件,如果发现master节点上没有kubeadm,可以从官方下载。以amd64架构1.16.9版本的kubeadm为例子,可以通过curl -L --remote-name-all https://storage.googleapis.com/kubernetes-r
《Kubernets证书篇:kubernetes1.20.6证书修改时间限制》
东城绝神
09-16 1万+
文章目录一、背景二、查看证书有效期三、go环境部署四、下载K8S源码五、修改Kubeadm源码包更新证书策略六、查看证书有效期七、其它Master节点总结:整理不易,如果对你有帮助,可否点赞关注一下? 一、背景 Kubernetes 默认的证书有效期只有1年,因此需要每年手动更新一次节点上面的证书,特别麻烦而且更新过程中可能会出现问题,因此我们要对 Kubernetes 的 SSL 证书有效期进行修改,这里将证书的时间限制修改为100年。 二、查看证书有效期 kubeadm alpha certs
Kubernetes 最新版本安装过程和注意事项
热门推荐
偶尔记一下 - mybatis.io
02-06 3万+
本文写于 2019-02-06 已亥猪年 农历正月初二 当前最新版本为 v1.13.3 在 18 年 6 月份京东活动的时候,买了一本 Kubernetes 权威指南,一直没时间看,春节期间正好学学。由于书上使用的是 2017 年的 1.6.0 版本,我自己为了使用最新版本,特地做一个记录。 虽然买了本书,但是整个操作过程参考了很多资料,主要是 kubeadm 官方文档: https://k...
[错误解决]centos中使用kubeadm方式搭建多master的高可用K8S集群
weixin_42072280的博客
01-19 5164
安装步骤 部署Kubernetes Master时的错误 部署Kubernetes Master时,创建了一个kubeadm-config.yaml文件,将相关配置信息放到这个地方,该文件如下: apiServer: certSANs: - master1 - master2 - master.k8s.io - 192.168.44.158 #虚拟ip - 192.168.44.155 #master1的ip - 192.168.44.156
使用kubeadm部署kubernetes
Andriy_dangli
02-06 2万+
Kubertenes集群部署 Kubertenes集群部署系统环境系统环境初始化安装软件源配置安装docker 1.12.6安装kubernetes下载相关镜像初始化kubernetes集群初始化成功输出:查看集群节点信息:初始化集群报错及问题解决:安装网络插件:一、weave网络模式二、flannel网络模式添加节点安装dashboard安装heapster插件 本文档是使用ku...
【kubernetes/k8s概念】k8s 坑问题汇总
zhonglinzhang
12-26 3万+
1.Pod始终处于Pending状态 如果Pod保持在Pending的状态,意味着无法被正常的调度到节点上。由于某种系统资源无法满足Pod运行的需求 系统没有足够的资源:已经用尽了集群中所有的CPU或内存资源。需要清理一些不在需要的Pod,调整它们所需的资源量,或者向集群中增加新的节点。 用户指定了hostPort:通过hostPort用户能够将服务暴露到指定的主机端口上,会限......
ubuntu22.04安装k8s 1.20.15
01-27
### 安装 Kubernetes 1.20.15 on Ubuntu 22.04 #### 准备工作 为了确保顺利安装,需确认操作系统环境满足需求。对于Ubuntu 22.04 LTS系统而言,应先更新软件包列表并安装必要的工具。 ```bash sudo apt-get update && sudo apt-get install -y apt-transport-https ca-certificates curl gnupg lsb-release ``` #### 设置Kubernetes仓库 由于官方源可能在国内访问不稳定,建议配置阿里云镜像源来加速下载过程: ```bash echo "deb http://mirrors.aliyun.com/kubernetes/apt/ kubernetes-xenial main" | sudo tee /etc/apt/sources.list.d/kubernetes.list curl -fsSL https://mirrors.aliyun.com/kubernetes/apt/doc/apt-key.gpg | gpg --dearmor -o /usr/share/keyrings/kubernetes-archive-keyring.gpg ``` #### 安装特定版本的Docker CE作为容器运行时 考虑到兼容性和稳定性,推荐使用稳定版Docker引擎。注意调整docker.service文件中的ExecStart参数以支持cgroup驱动为systemd模式[^1]。 ```bash # 添加Docker APT仓库GPG密钥 curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg # 设置稳定的Docker APT仓库 echo \ "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/ubuntu \ $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null # 更新APT缓存并安装指定版本的Docker Engine sudo apt-get update sudo apt-get install docker-ce=5:20.10.7~3-0~ubuntu-focal docker-ce-cli=5:20.10.7~3-0~ubuntu-focal containerd.io ``` #### 关闭Swap分区 关闭swap有助于提高集群性能和避免某些组件启动失败的问题。 ```bash sudo swapoff -a #临时关闭swap # 若要永久生效,则编辑/etc/fstab 文件注释掉swap条目 ``` #### 加载必要内核模块 为了让网络策略等功能正常运作,需要提前加载`overlay` 和 `br_netfilter`这两个内核模块。 ```bash cat <<EOF | sudo tee /etc/modules-load.d/containerd.conf overlay br_netfilter EOF sudo modprobe overlay sudo modprobe br_netfilter ``` #### 修改sysctl设置 通过修改/sys目录下的相应文件或利用`sysctl`命令可以实现对这些参数的一次性设定;而如果希望重启后仍然保持效果,则应该把它们加入到`/etc/sysctl.d/k8s.conf`中去。 ```bash cat <<EOF | sudo tee /etc/sysctl.d/k8s.conf net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 EOF sudo sysctl --system ``` #### 安装kubelet, kubeadm and kubectl 现在可以从之前配置好的APT库里面获取所需的二进制文件了。这里特别指定了想要安装的具体版本号即v1.20.15-00。 ```bash sudo apt-mark unhold kubelet kubeadm kubectl # 解除锁定以便于重新安装旧版本 sudo apt-get update sudo apt-get install -y kubelet=1.20.15-00 kubeadm=1.20.15-00 kubectl=1.20.15-00 sudo apt-mark hold kubelet kubeadm kubectl # 锁定当前已安装版本防止自动升级 ``` #### 初始化Master节点 完成上述准备工作之后就可以初始化第一个控制平面节点了。这一步会创建证书、etcd数据库以及apiserver等服务,并生成用于后续添加worker node 的token令牌。 ```bash sudo kubeadm init --pod-network-cidr=192.168.0.0/16 --kubernetes-version=v1.20.15 ``` #### 配置kubectl客户端认证信息 执行下面这条指令可以让普通用户无需root权限就能操作API Server。 ```bash mkdir -p $HOME/.kube sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config sudo chown $(id -u):$(id -g) $HOME/.kube/config ``` #### 安装Pod Network Add-on (Calico) 最后部署一个合适的CNI插件是非常重要的,它负责管理整个集群内部各个POD之间的通信连接关系。此处选择了Tigera提供的开源项目Calico作为例子来进行说明。 ```bash kubectl apply -f https://docs.projectcalico.org/v3.20/manifests/calico.yaml ``` 此时已经成功搭建起了单机版Kubernetes集群环境,在此基础上还可以继续扩展更多Worker Node 或者尝试其他高级特性如负载均衡器LB、Ingress Controller等等[^3]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

恒云客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值