k8s(kubernetes)证书续期

原创 已于 2023-09-26 10:27:22 修改 · 6.7k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #docker #容器

于 2022-05-31 09:52:55 首次发布
本文介绍了如何使用kubeadm在Kubernetes集群上进行证书续期,包括查看证书有效期、更新证书、重启服务等关键步骤。提供了两种方法,一种是推荐的简单方式,另一种涉及详细操作。强调了证书备份和更新所有组件服务的重要性。

简介
kubernetes集群上kubeadm 安装的证书默认为 1 年,注意原证书文件必须保留在服务器上才能做延期操作,否则就会重新生成,集群可能无法恢复,这里在证书快到期之前进行续期操作。

证书续期

方式一(推荐)

一、准备工作
1、查看证书有效期
命令: kubeadm certs check-expiration

2、更新证书
命令: kubeadm certs renew all

3、重启master相关组件服务(重启后读取使用新证书)

docker ps |grep -E 'k8s_kube-apiserver|k8s_kube-controller-manager|k8s_kube-scheduler|k8s_etcd_etcd' | awk -F ' ' '{print $1}' |xargs docker restart

方式二

具体操作
查看证书到期时间
一般k8s证书文件都在/etc/kubernetes/pki/下

openssl x509 -noout -text -in /etc/kubernetes/pki/apiserver.crt

多个证书一起查看到期时间

for item in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`;do echo "==========$item=========";openssl x509 -in $item -text -noout| grep Not;done

开始续期
一般是更新master节点证书文件(如果是但master节点则直接执行下面步骤,如果是高可用多master节点则所有master节点都需要执行下面步骤)

备份配证书目录

mkdir /backups/ && cp -r /etc/kubernetes/pki /backups/

生成配置文件

kubeadm config view > /data/backups/cluster.yaml

更新所有证书(对所有证书进行续期)

kubeadm alpha certs renew all --config=/data/backups/cluster.yaml

重启master相关组件服务(重启后读取使用新证书)

docker ps |grep -E 'k8s_kube-apiserver|k8s_kube-controller-manager|k8s_kube-scheduler|k8s_etcd_etcd' | awk -F ' ' '{print $1}' |xargs docker restart

再次查看证书到期时间,查看是否成功续期

for item in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`;do echo "==========$item=========";openssl x509 -in $item -text -noout| grep Not;done
K8S手动续期证书教程
u012604480的博客
06-30 310
k8s证书默认时自动续期的,如果k8s未触发证书过期自动续期机制,需要手动续期,根证书的有效期是10年且不能更新,其他证书的有效期是1年可以续期。为了安全起见,备份旧证书,执行cp -r /etc/kubernetes/ /etc/kubernetes.old命令。6、重启etcd、scheduler、controller、apiserver服务。
k8s证书续期
weixin_40668374的博客
05-15 923
如果证书即将到期,此处的天数应该是几天,在过期之前进行续期,保证集群的可用。6.再次查看期限,检查服务是否正常。避免出现问题可以回退。5.替换更新后的文件。
K8S(十六)—— K8S集群apiserver证书有效期修改指南(适配v1.20.11版本)
最新发布
荣光波比的博客
10-19 974
本文介绍了如何延长Kubernetes集群中apiserver组件证书的有效期。通过分析证书存放位置及有效期,发现apiserver.crt默认仅1年有效期,而CA证书为10年。为解决证书过期导致集群瘫痪的问题,文章详细讲解了修改方案:首先部署Go 1.15.x编译环境,下载匹配的K8S v1.20.11源码;然后修改kubeadm源码中的pki_helpers.go文件,将NewSignedCert函数的证书有效期从1年调整至10年。该方案通过重新编译kubeadm工具生成长期有效证书,从根本上解决生产环
k8s集群查看证书到期时间
weixin_45112997的博客
02-02 3455
k8s集群查看证书到期时间
K8S查看证书有效期
学亮编程手记
05-06 1049
快速检查:优先使用。精细排查:通过openssl解析具体证书文件。生产建议:定期监控证书有效期,并设置自动续期策略(如或。
k8s查看证书有效期的两种方法
学亮编程手记
05-17 4014
查看Kubernetes (k8s) 集群中各个组件的证书有效期,您可以使用不同的方法,具体取决于您的集群是如何部署和配置的。
k8s集群证书过期
Dang_Ni的博客
02-21 1522
k8s集群证书过期
k8s证书手动续期
qq_39704419的博客
09-20 370
【代码】k8s证书手动续期
k8s1.19.1证书续期(etcd外设版)
weixin_50763319的博客
06-21 1402
• 工作节点:工作节点主要是指kubelet连接apiserver所需的客户端证书,这个证书由controller-manager组件自动颁发,默认是一年,如果到期,kubelet将无法使用过期的证书连接apiserver,从而导致无法正常工作,日志会_kubelet-client-2023-01-18-22-31-02.pem。Kubernetes Kubeadm Kubelet 证书自动续签_kubelet-client-2023-01-18-22-31-02.pem-优快云博客。
k8s证书续期及版本升级
geriletuma
07-28 1205
k8s证书续期及版本升级
k8s证书修改为10年文件
06-13
Kubernetes(简称k8s)环境中,证书是保障集群安全和通信的重要组成部分。默认情况下,k8s证书有效期通常为一年,但这可能会导致在证书即将到期时需要频繁进行更新,增加了管理负担。本教程将详细介绍如何将k8s...
k8s集群证书延期
liu_阳的博客
01-28 2456
k8s集群证书延期 延期前有几个前提条件 1、kubeadm需要调整,修改证书过期时间,把时间延长到100年 2、ca.crt我这里是调整后的100年,就没有调整 补充;kubelet延期为涉及 本次我的集群证书延期,是在这2个前提条件完全满足的情况下进行的 具体操作如下: 1、备份k8s全目录,/etc/kubernetes cp -r /etc/kubernetes /etc/kubernetes-bak 2、备份kubelet的目录(当时备份时,由于是第一次搞,考虑到万一kubelet受到影响,崩
K8s集群证书续签100年有效期
m0_50978391的博客
05-10 1072
K8s集群证书续签100年有效期
k8s--100年证书?验证
weixin_41410744的博客
09-08 1705
想要安全就必须复杂起来,证书是少不了的。在Kubernetes中提供了非常丰富的证书类型,满足各种不同场景的需求。在最初搭建K8S过程中,网上的资料都没有提到K8S还有证书到期的情况,这就导致最开始部署的环境都是1年到期。从这点上说明网上的知识也是不那么权威的,需要我们在其基础上,多思考,多总结,想全面一点。
k8s 1.14证书延期
nowhy25的博客
05-28 250
证书延期(非ca) https://www.jianshu.com/p/16d285aad0a8 https://blog.youkuaiyun.com/kozazyh/article/details/94593538 https://www.jianshu.com/p/220f78a6e2f1 https://code.bonc.com.cn/confluence/pages/viewpage.action?pageId=26282389 版本:kubernetes1.14.3 http外部集成的etcd 老版
k8s证书延长为10年(kubeadm安装k8s1.18.12)
qq_37181884的博客
07-19 930
1、在github上下载对应的源码包,并上传到linux中 2、配置go的基础环境(k8s1.18.12需要go1.13以上的版本) 我用的go1.15 需求配置go1.15.11.linux-amd64.tar.gz 配置环境变量 3、修改配置文件的证书时间 找到CertificateValidity这个关键字,默认是1年,我已修改为10年 保存文件 注意:由于ca证书默认是10年,所以不用修改 如要修改,位置在/root/kubernetes-1.18.12...
【Microk8s】如何查看microk8s的apiserver证书的过期时间
pcj_888的博客
03-30 828
查看microk8s的apiserver证书过期时间
K8S集群证书续期
04-14
### Kubernetes 集群证书续期教程 为了确保 Kubernetes 集群的安全性和稳定性,定期检查并续期集群中的证书是非常重要的。以下是关于如何为 Kubernetes 集群续期证书的具体方法: #### 1. 检查当前证书的有效期限 在进行证书续期之前,先确认现有证书的有效期限是否即将到期。可以通过以下命令查看所有证书的状态: ```bash kubeadm certs check-expiration ``` 这一步可以帮助识别哪些证书需要更新[^4]。 #### 2. 更新所有证书 如果发现某些证书已经接近其有效期,则可以使用 `kubeadm` 工具来更新它们。具体操作如下: - **新版本 (v1.15 及以上)** 运行以下命令以一次性更新所有的证书: ```bash kubeadm certs renew all ``` - **老版本** 如果使用的 Kubernetes 版本较早,则需采用以下命令: ```bash kubeadm alpha certs renew all ``` 上述两种方式均会在不删除原有过期证书的情况下生成新的有效证书[^3]。 #### 3. 备份原始配置文件 为了避免意外情况发生,在执行任何更改前务必做好充分的数据备份工作。例如: ```bash mkdir ~/confirm # 创建用于保存备份数据的新目录 cp -rf /etc/kubernetes/ ~/confirm/ # 将整个Kubernetes配置复制过去 cp -rf /var/lib/etcd/* ~/confirm/data_etcd # 同样也要保护好Etcd数据库的内容 cp /usr/bin/kubeadm /usr/bin/kubeadm.bak # 对二进制程序本身做副本留存 ``` 这样即使出现问题也可以迅速恢复到初始状态[^4]。 #### 4. 修改 Kubelet 配置文件 由于仅靠上面提到的方法并不能同步更新 `/etc/kubernetes/kubelet.conf` 中所涉及的部分信息,因此还需要额外采取措施加以修正。具体做法是从 Master 节点获取最新版的认证材料覆盖掉 Node 上原有的那份: ```bash vim /etc/kubernetes/admin.conf # 把 user 下面 base64 编码后的字符串替换进去 scp /path/to/new/kubelet.conf node:/etc/kubernetes/ systemctl restart kubelet.service ``` 最后记得通知各节点重启相关服务以便应用最新的改动[^4]。 #### 5. 设置自动化的证书管理机制 考虑到手动方式进行周期性的维护既费时又容易犯错,推荐引入专门设计用来应对这种情况下的工具——如文中提及过的 update-kube-cert 。它具备高度自动化的特点,能够显著简化日常管理工作流程的同时还提供了诸如长期有效性设定等功能选项[^5]。 --- ### 注意事项 - 确认有足够的磁盘空间可用,因为每次创建都会新增一些临时文件。 - 若存在依赖于固定路径读取公私钥的应用组件,请相应调整逻辑适应变化后的位置关系。 - 生产环境下应尽早规划此类事务,并设立预警提示系统以防措手不及。 ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值