kube-apiserver到3节点 证书制作

最新推荐文章于 2025-10-19 23:06:46 发布
转载 最新推荐文章于 2025-10-19 23:06:46 发布 · 1.2k 阅读 · 0

本文介绍使用kubeadm部署k8s集群时,将kube-apiserver扩容到3节点的操作。包括配置kube-apiserver.yaml、分析其依赖证书、为新节点生成专属证书、下发证书到对应节点,以及确认各节点apiserver的运行状态。

 

pcnk关注2人评论9625人阅读2018-01-19 15:31:34

使用kubeadm部署k8s集群03-扩容kube-apiserver到3节点

2018/1/3

扩容 kube-apiserver 到 3 节点

  • 配置 kube-apiserver.yaml
  • 分析 kube-apiserver 依赖的证书
  • 为新节点生成专属证书
  • 下发证书到对应的节点
  • 确认每个节点的 apiserver 是否处于 Running 状态

配置 kube-apiserver.yaml

### 拷贝原 master 上的配置:
[root@tvm-00 ~]# mkdir -p ~/k8s_install/master/manifests
[root@tvm-00 ~]# cd !$
[root@tvm-00 manifests]# cp -a /etc/kubernetes/manifests/kube-apiserver.yaml tvm-01.kube-apiserver.yaml
### 替换 ip 信息:
[root@tvm-00 manifests]# sed -i 's#10.10.9.67#10.10.9.68#' tvm-01.kube-apiserver.yaml

[root@tvm-00 manifests]# cp -a /etc/kubernetes/manifests/kube-apiserver.yaml tvm-02.kube-apiserver.yaml
### 替换 ip 信息:
[root@tvm-00 manifests]# sed -i 's#10.10.9.67#10.10.9.69#' tvm-02.kube-apiserver.yaml

### 启动:
[root@tvm-00 manifests ~]# scp tvm-01.kube-apiserver.yaml 10.10.9.68:/etc/kubernetes/manifests/kube-apiserver.yaml
[root@tvm-00 manifests ~]# scp tvm-02.kube-apiserver.yaml 10.10.9.69:/etc/kubernetes/manifests/kube-apiserver.yaml

### 但,查看 pods 的状态发现,需要证书
[root@tvm-00 ~]# kubectl get pods --all-namespaces |grep 'kube-apiserver-tvm'
kube-system   kube-apiserver-tvm-00            1/1       Running            0          2h
kube-system   kube-apiserver-tvm-01            0/1       CrashLoopBackOff   5          5m
kube-system   kube-apiserver-tvm-02            0/1       CrashLoopBackOff   5          3m
[root@tvm-00 ~]# kubectl logs -n kube-system --tail=20 kube-apiserver-tvm-01
I1226 10:35:46.521561       1 server.go:121] Version: v1.9.0
unable to load server certificate: open /etc/kubernetes/pki/apiserver.crt: no such file or directory

分析 kube-apiserver 依赖的证书

### 查看下 kube-apiserver 依赖了哪些证书:
[root@tvm-00 pki]# cat /etc/kubernetes/manifests/kube-apiserver.yaml |grep '=/etc/kubernetes/pki' |sort
    - --client-ca-file=/etc/kubernetes/pki/ca.crt
    - --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt
    - --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key
    - --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt
    - --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key
    - --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt
    - --service-account-key-file=/etc/kubernetes/pki/sa.pub
    - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt
    - --tls-private-key-file=/etc/kubernetes/pki/apiserver.key

### 其中,可以直接拿来复用的有以下几个:
ca.crt
apiserver-kubelet-client.crt
apiserver-kubelet-client.key
front-proxy-ca.crt
front-proxy-client.key
sa.pub

### 需要为每个 master 节点重新生成证书的有以下几个:
apiserver.crt
apiserver.key

### 基本思路确定了,开始干活
### 先查看当前 master 上的 apiserver.crt 证书里边有什么内容

[root@tvm-00 ~]# cd /etc/kubernetes/pki/
[root@tvm-00 pki]# openssl x509 -noout -text -in apiserver.crt
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1949677591623098936 (0x1b0ea570933be238)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=kubernetes
        Validity
            Not Before: Dec 22 08:24:18 2017 GMT
            Not After : Dec 22 08:24:19 2018 GMT
        Subject: CN=kube-apiserver
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                ###(输出略)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Subject Alternative Name:
                DNS:tvm-00, DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster.local, IP Address:10.96.0.1, IP Address:10.10.9.67
    Signature Algorithm: sha256WithRSAEncryption
    ###(输出略)

为新节点生成专属证书

### 准备工作,先拷贝当前 master 上的 key 并移除 apiserver 证书,后续复用此处的证书:
[root@tvm-00 ~]# mkdir -p ~/k8s_install/master/pki/original
[root@tvm-00 ~]# cd !$
[root@tvm-00 original]# cp -a /etc/kubernetes/pki/* . && rm -f apiserver.key apiserver.crt

### 准备工作,复用证书,生成本节点专属的 apiserver 证书:
[root@tvm-00 ~]# mkdir -p ~/k8s_install/master/pki/tvm-01
[root@tvm-00 ~]# cd !$
[root@tvm-00 tvm-01]# cp -a ../original/* .
### 生成2048位的密钥对:
[root@tvm-00 tvm-01]# openssl genrsa -out apiserver.key 2048
Generating RSA private key, 2048 bit long modulus
.....+++
..........................................................+++
e is 65537 (0x10001)

### 生成证书签署请求文件:
[root@tvm-00 tvm-01]# openssl req -new -key apiserver.key -subj "/CN=kube-apiserver," -out apiserver.csr

### 生成 ext 文件:
[root@tvm-00 tvm-01]# echo 'subjectAltName = DNS:tvm-01,DNS:kubernetes,DNS:kubernetes.default,DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster.local, IP:10.96.0.1, IP:10.10.9.68' >apiserver.ext

### 使用 ca.key 和 ca.crt 签署上述请求:
[root@tvm-00 tvm-01]# openssl x509 -req -in apiserver.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out apiserver.crt -days 365 -extfile apiserver.ext
Signature ok
subject=/CN=kube-apiserver,
Getting CA Private Key

### 查看新生成的证书:
[root@tvm-00 tvm-01]# openssl x509 -noout -text -in apiserver.crt
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 12945856570840330031 (0xb3a8ebf60a182f2f)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: CN=kubernetes
        Validity
            Not Before: Dec 26 10:54:23 2017 GMT
            Not After : Dec 26 10:54:23 2018 GMT
        Subject: CN=kube-apiserver,
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                (输出略)
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Alternative Name:
                DNS:tvm-01, DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster.local, IP Address:10.96.0.1, IP Address:10.10.9.68
    Signature Algorithm: sha1WithRSAEncryption
    (输出略)

### 另一个节点类似:
### 准备工作,复用证书,生成本节点专属的 apiserver 证书:
[root@tvm-00 ~]# mkdir -p ~/k8s_install/master/pki/tvm-02
[root@tvm-00 ~]# cd !$

[root@tvm-00 tvm-02]# cp -a ../original/* .
### 生成2048位的密钥对:
[root@tvm-00 tvm-02]# openssl genrsa -out apiserver.key 2048
### 生成证书签署请求文件:
[root@tvm-00 tvm-02]# openssl req -new -key apiserver.key -subj "/CN=kube-apiserver," -out apiserver.csr
### 生成 ext 文件:
[root@tvm-00 tvm-02]# echo 'subjectAltName = DNS:tvm-02,DNS:kubernetes,DNS:kubernetes.default,DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster.local, IP:10.96.0.1, IP:10.10.9.69' >apiserver.ext

### 使用 ca.key 和 ca.crt 签署上述请求:
[root@tvm-00 tvm-02]# openssl x509 -req -in apiserver.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out apiserver.crt -days 365 -extfile apiserver.ext

### 查看新生成的证书:
[root@tvm-00 tvm-02]# openssl x509 -noout -text -in apiserver.crt

下发证书到对应的节点

[root@tvm-00 ~]# cd ~/k8s_install/master/pki
[root@tvm-00 pki]# scp tvm-01/* 10.10.9.68:/etc/kubernetes/pki/
[root@tvm-00 pki]# scp tvm-02/* 10.10.9.69:/etc/kubernetes/pki/

确认每个节点的 apiserver 是否处于 Running 状态

### 查看 pods 的状态
[root@tvm-00 ~]# kubectl get pods --all-namespaces |grep 'kube-apiserver-tvm'
kube-system   kube-apiserver-tvm-00            1/1       Running   0          17h
kube-system   kube-apiserver-tvm-01            1/1       Running   184        15h
kube-system   kube-apiserver-tvm-02            1/1       Running   183        15h

### 符合预期

ZYXW、参考

  1. 一步步打造基于Kubeadm的高可用Kubernetes集群-第二部分
Kubernetes apiserver更换证书
江晓龙的博客
09-13 1500
Kubernetes apiserver更换证书 文章目录Kubernetes apiserver更换证书1.更换证书适用场景2.以新增master节点为例更换kube-apiserver证书文件2.1.重新生成kube-apiserver证书2.2.将证书文件拷贝至各个master节点对应路径2.3.重启master和node上面的组件2.4.部署新的master节点观察能否成功加入集群 1.更换证书适用场景 kubernetes更换证书的场景: 当集群要增加新的master/node节点,此时ap
10. k8s二进制集群之Kube Scheduler部署
孤独的狼
02-06 1199
Kube Scheduler 支持自定义调度策略,通过 Policy 配置文件定义过滤和评分的优先级,例如禁用某些插件或调整权重。总之Kube Scheduler 是 Kubernetes 集群的“智能调度中心”,通过资源评估、策略匹配和负载均衡,确保 Pod 被高效、可靠地分配到最佳节点。理解其工作原理和扩展机制,能帮助优化应用部署,提升集群稳定性。
使用kubeadm部署k8s集群03-扩容kube-apiserver3节点
大JAVA解决方案
06-18 767
pcnk关注2人评论9625人阅读2018-01-19 15:31:34 使用kubeadm部署k8s集群03-扩容kube-apiserver3节点 2018/1/3 扩容 kube-apiserver3 节点 配置 kube-apiserver.yaml 分析 kube-apiserver 依赖的证书 为新节点生成专属证书 下发证书到对应的节点 确认每个节点的...
K8S(十六)—— K8S集群apiserver证书有效期修改指南(适配v1.20.11版本)
最新发布
荣光波比的博客
10-19 981
本文介绍了如何延长Kubernetes集群中apiserver组件证书的有效期。通过分析证书存放位置及有效期,发现apiserver.crt默认仅1年有效期,而CA证书为10年。为解决证书过期导致集群瘫痪的问题,文章详细讲解了修改方案:首先部署Go 1.15.x编译环境,下载匹配的K8S v1.20.11源码;然后修改kubeadm源码中的pki_helpers.go文件,将NewSignedCert函数的证书有效期从1年调整至10年。该方案通过重新编译kubeadm工具生成长期有效证书,从根本上解决生产环
使用kubeadm部署k8s集群07-扩容kube-scheduler到3节点
weixin_34320159的博客
01-19 265
使用kubeadm部署k8s集群07-扩容kube-scheduler到3节点 2018/1/4 扩容 kube-scheduler 到 3 节点 连接到本节点apiserver [root@tvm-00 kube-controller-manager]# cat /etc/kubernetes/manifests/kube-scheduler.yaml |grep '/etc/kuber...
K8S增加master-线上扩容(使用kubeadm)
weixin_43793525的博客
02-21 745
k8s增加master
SpringBoot 3.2 + K8s 实战:小白手把手实现秒级扩容10亿级系统
✨ 欢迎来唠嗑、切磋、一起成长!👋
07-04 318
2.打开IntelliJ → File → Open → 选择解压后的文件夹。3.等待Maven依赖下载完成。1.解压下载的zip文件。
k8s单节点二进制部署(flannel、etcd、docker、kube-apiserverkube-controller-manager、kube-scheduler、kubelet及proxy)
qq_35456705的博客
04-15 3042
再开一个master1的终端,查看etcd进程已开启 二:K8S部署 Master1:192.168.2.3/24 kube-apiserver kube-controller-manager kube-scheduler etcd Node01:192.168.2.5/24 kubelet kube-proxy docker flannel etcd Node02:192.168.2.6/24 kubelet kube-proxy docker flannel etcd (一)、ETCD组件部署 m.
离线搭建Kubernetes-v1.17.4集群及kube-prometheus监控
TT-Learning
05-07 744
文章目录1.环境准备1.1 关闭防火墙(所有主机)1.2 关闭 Selinux(所有主机)1.3 关闭 swap(所有主机)1.4 配置 hosts(所有主机)1.5 安装 ntpd 服务(所有主机)1.6 配置 SSH 免密(manager.rancher)1.7 安装 HTTP 服务(manager.rancher)1.8 挂载镜像配置 Yum 源1.8.1 挂载 CentOS 及配置 Yum...
Kubernetes----节点部署(详细过程~)
weixin_45726050的博客
05-02 4345
文章目录前言:一、环境介绍1.1 单master集群架构图1.2 master节点apiserver 启动流程二、部署master组件2.1 master节点 生成证书2.2 生成token、绑定角色(bootstrap)2.3 启动apiserver、scheduler、controller-manager服务2.3.1 启动apiserver服务2.3.2 启动scheduler服务2.3.3...
Kubernetes集群安全:Api Server认证
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
11-11 3700
Kubernetes提供了三种级别的客户端认证方式: HTTPS证书认证,是基于CA根证书签名的双向数字证书认证方式,是最严格的认证 HTTP Token认证,通过Token识别每个合法的用户 HTTP Basic认证 HTTP Token认证和Http Basic认证是相对简单的认证方式,Kubernetes的各组件与Api Server的通信方式仍然是HTTPS,但不再使用CA数字证书。 ...
部署k8s高可用时备master节点加入集群时故障
Hcucg的博客
09-05 958
报错信息:error creating local etcd static pod manifest file: etcdserver: re-configuration failed due to not enough started members
apiserver凭证访问apiserver
SHELLCODE_8BIT的博客
09-29 488
【代码】apiserver凭证访问apiserver
k8s主机点加入报错 failure loading certificate for CA: couldn‘t load the certificate file
liudongyang123的博客
03-24 2805
当k8s做集群高可用的时候,需要将另一个master加入到当前master,此时如果报错 failure loading certificate for CA: couldn't load the certificate file /etc/kubernetes/pki/ca.crt: open /etc/kubernetes/pki/ca.crt: no such file or directory scp -rp /etc/kubernetes/pki/ca.* master02:/etc/
apiserver启动证书认证
国产-达芬奇
01-13 510
- --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt - --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt - --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt - --tls-private-key-file...
Kubernetes组件_APIServer_证书_03_四个静态Pod Yaml文件解析
毛毛的专栏
06-04 2117
四个静态Pod Yaml文件解析
Kubernetes_认证授权_静态Pod网关apiserver底层都是restful接口(UserAccount三种访问方式和打开外网)
毛毛的专栏
10-15 1382
静态Pod网关apiserver底层都是restful接口
kubectl远程访问内网中的k8s集群(更新证书,添加master ip或域名)
草莓甜甜圈的博客
10-29 2190
本文我们将了解如何将一个新的 DNS 名称或者 IP 地址添加到 Kubernetes APIServer 使用的 TLS 证书中。在某些情况下默认的证书包含的名称可能不能满足我们的要求,又或者是 APIServer 地址有所变化,都需要重新更新证书Kubernetes APIServer 使用数字证书来加密 APIServer 的相关流量以及验证到 APIServer 的连接。所以如果我们想使用命令行客户端(比如 kubectl)连接到 APIServer,并且使用的主机名或者 IP 地址不包括在证
# 端口 server: port: 8086 http: port: 8085 # 服务端IP用于认证 ip: 127.0.0.1 servlet: context-path: /uupm spring: profiles: active: dev mvc: throw-exception-if-no-handler-found: true # resources: # add-mappings: false application: name: console-server jackson: date-format: yyyy-MM-dd HH:mm:ss time-zone: GMT+8 servlet: multipart: max-file-size: 100MB max-request-size: 100MB mybatis-plus: configuration: log-impl: org.apache.ibatis.logging.stdout.StdOutImpl mapper-locations: classpath:mapper/${project.database}/**/*.xml,classpath:mapper/*.xml global-config: db-config: logic-delete-value: 0 logic-not-delete-value: 1 logic-delete-field: deleted ############## Sa-Token 配置 (文档: https://sa-token.cc) ############## sa-token: # token 名称(同时也是 cookie 名称) token-name: satoken # token 有效期(单位:秒) 默认30天,-1 代表永久有效 timeout: 2592000 # token 最低活跃频率(单位:秒),如果 token 超过此时间没有访问系统就会被冻结,默认-1 代表不限制,永不冻结 active-timeout: -1 # 是否允许同一账号多地同时登录 (为 true 时允许一起登录, 为 false 时新登录挤掉旧登录) is-concurrent: true # 在多人登录同一账号时,是否共用一个 token (为 true 时所有登录共用一个 token, 为 false 时每次登录新建一个 token) is-share: true # token 风格(默认可取值:uuid、simple-uuid、random-32、random-64、random-128、tik) token-style: uuid # 是否输出操作日志 is-log: true #JASYPT加密配置 jasypt: encryptor: bean: sm4Encryptor password: uupm algorithm: PBEWithMD5AndDES key-obtention-iterations: 1000 pool-size: 1 provider-name: SunJCE salt-generator-classname: org.jasypt.salt.RandomSaltGenerator iv-generator-classname: org.jasypt.iv.NoIvGenerator string-output-type: base64 帮我看下这整段application.yml配置是否是 YAML 格式,不是帮我转换一下
09-30
给定的配置基本符合 YAML 格式,但存在一些键名包含空格的问题,需要将其修正为合法的 YAML 键名。以下是修正后的 YAML 格式配置: ```yaml server: port: 8086 http: port: 8085 ip: 127.0.0.1 servlet: context-path: /uupm spring: profiles: active: dev mvc: throw-exception-if-no-handler-found: true application: name: console-server jackson: date-format: yyyy-MM-dd HH:mm:ss time-zone: GMT+8 servlet: multipart: max-file-size: 100MB max-request-size: 100MB mybatis-plus: configuration: log-impl: org.apache.ibatis.logging.stdout.StdOutImpl mapper-locations: classpath:mapper/${project.database}/**/*.xml,classpath:mapper/*.xml global-config: db-config: logic-delete-value: 0 logic-not-delete-value: 1 logic-delete-field: deleted sa-token: token-name: satoken timeout: 2592000 active-timeout: -1 is-concurrent: true is-share: true token-style: uuid is-log: true jasypt: encryptor: bean: sm4Encryptor password: uupm algorithm: PBEWithMD5AndDES key-obtention-iterations: 1000 pool-size: 1 provider-name: SunJCE salt-generator-classname: org.jasypt.salt.RandomSaltGenerator iv-generator-classname: org.jasypt.iv.NoIvGenerator string-output-type: base64 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值