kubernetes 二进制部署证书续签

原创 已于 2022-10-09 18:19:35 修改 · 427 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #java #容器

于 2022-10-09 16:03:17 首次发布

目录

二进制部署方式

二进制部署方式

1.启用证书轮转

# vi /opt/kubernetes/cfg/kubelet-config.yml
...
rotateCertificates: true

# systemctl restart kubelet

2. 配置kubelet证书申请自动签发

#自动批准首次申请证书的 CSR 请求
kubectl create clusterrolebinding node-client-auto-approve-csr --clusterrole=system:certificates.k8s.io:certificatesigningrequests:nodeclient --user=kubelet-bootstrap
# 自动批准kubelet客户端证书续签
kubectl create clusterrolebinding node-client-auto-renew-crt --clusterrole=system:certificates.k8s.io:certificatesigningrequests:selfnodeclient --group=system:nodes
# 自动批准kubelet服务端证书续签
kubectl create clusterrolebinding node-server-auto-renew-crt --clusterrole=system:certificates.k8s.io:certificatesigningrequests:selfnodeserver --group=system:nodes

最低0.47元/天 解锁文章

200万优质内容无限畅学
kubeadm部署k8s 证书升级和 kubelet证书自动续期
weixin_38582858的博客
08-27 881
vi /etc/kubernetes/manifests/kube-controller-manager.yaml //文件中添加一下两行。配置完成后,重启kube-controller-manager pod使之生效。默认kubelet证书轮询已启用。
二进制部署的K8s集群,如何对到期证书更新
时光旅行者
09-12 3574
一年前搭建的k8s集群,突然不能够正常访问,出现502错误,首先怀疑容器没起来,先对问题进行排查,排查响应的容器有没有正常启动,状态一切正常,访问容器地址也可以正常访问,于是访问node port地址,发现无法正常访问,确定问题出现在svc中。 由于其他的应用、系统也无法提供正常的服务,应该是k8s的问题,非单个应用的原因。查看服务状态,kubectl describe svc xxx,endp...
Kubernetes Kubeadm Kubelet 证书自动续签
小楼一夜听春雨,深巷明朝卖杏花
02-25 5027
Kubelet 证书自动续签 K8s证书一般分为两套:K8s组件(apiserver)和Etcd 假如按角色来分,证书分为管理节点和工作节点。 • 管理节点:如果是kubeadm部署则自动生成,如果是二进制部署一般由cfssl或者openssl生成。 • 工作节点:工作节点主要是指kubelet连接apiserver所需的客户端证书,这个证书由controller-manager组件自动颁发,默认是一年,如果到期,kubelet将无法使用过期的证书连接apiserver,从而导致无法正常工作,日志会
Kubernetes 用户认证-证书签名请求
qq_37377136的博客
08-15 989
官方证书签名请求 一、创建私钥 普通用户 为了让普通用户能够通过认证并调用 API,需要执行几个步骤。 首先,该用户必须拥有 Kubernetes 集群签发的证书, 然后将该证书作为 API 调用的 Certificate 头或通过 kubectl 提供。 创建私钥 下面的脚本展示了如何生成 PKI 私钥和 CSR。 设置 CSR 的 CN 和 O 属性很重要。CN 是用户名,O 是该用户归属的组。 你可以参考 RBAC 了解标准组的信息。 openssl genrsa -out myuser.key 20
Kubernetes部署篇:Ubuntu20.04基于containerd二进制部署K8S 1.24.12集群(一主多从)》
东城绝神
04-14 1475
Kubernetes部署篇:Ubuntu20.04基于containerd二进制部署Kubernetes 1.24.12集群(一主多从)》
Kubernetes部署篇:Ubuntu20.04基于containerd二进制部署K8S 1.24.12集群(多主多从)》
东城绝神
04-14 858
Kubernetes部署篇:Ubuntu20.04基于containerd二进制部署K8S 1.24.12集群(多主多从)》
[k8s]二进制部署k8s 更换etcd证书(100年有效期)
yyq2272的博客
04-16 622
[k8s]二进制部署k8s 更换etcd证书(100年有效期)
kubespray续签k8s证书
OfficerGoodbody的博客
08-08 485
kubespray续签k8s证书
Kubernetes kubeadm 管理证书续签证书
小楼一夜听春雨,深巷明朝卖杏花
06-08 1053
各个证书的过期时间 可用于检查证书过期时间: 手动续订apiserver的证书-apiserver.crt 当前 apiserver.crt 到期时间是 May 22, 2021 15:26 UTC 剩余327天执行renew更新: 重启kubelet会自动重新创建核心组件 验证: apiserver证书到期时间发生了变化, 不过不是顺延一年, 而是 从你 执行renew成功的时间开始续签一年。如果要将所有证书续签一年,则执行:查看全部估清了以上结束了.使用外部CA续订证书 1.生成
kubectl查看node状态_K8S常用命令
weixin_35282313的博客
12-23 7721
1、master查看待审批node信息:[k8s@database_1 dns]$ kubectl get csrNAME AGE REQUESTOR CONDITIONnode-csr-QOrUGcKDtAip5-k0MU3KFoY4hD0It3wXRh2uGURB...
kubelet证书过期问题处理
niuwj666的博客
06-11 905
按照以上方式改好后,重启kubelet会生成新的证书(重启kubelet就会生成新的.crt .key证书),但是.crt .key证书无需理会,目前来看不知道有啥用,即使过期很长时间,也不影响使用。下面这个命令可以看到证书的有效期openssl x509 -in 证书路径/证书名称 -noout -text | grep Not。
kubernetes certs update 【证书更新】
爱死亡机器人
07-25 1462
查看 kubelet是否支持证书自动轮换,默认轮换的证书位于目录。查看集群指定证书位置。备份 kubelet。
kubernetes证书时间修改
liuchao666888的博客
09-29 1557
此文档针对k8s版本1.14.1 kubeadm 默认证书为一年,一年过期后,会导致api service不可用,使用过程中会出现:x509: certificate has expired or is not yet valid. 方案一 通过修改kubeadm 调整证书过期时间 1、创建工作目录 [root@master ~]# mkdir /data 2、下载go环境(搜索go 中文网既可下载) [root@master ~]# cd /data [root@master data]# wge
Kubernetes(K8s)_10_认证机制
爱喝可乐的w
02-22 1679
Kubernetes(K8s)保证安全的认证机制/插件
部署Node节点 配置kubelet证书自动申请 CSR、审核及自动续期
码农崛起
02-09 5448
apiserver 预先放置 token.csv,内容样例如下,master节点的token格式 id,用户名,编号,组 [root@localhost cfg]# cat token.csv d3f6263fa65e375967541947834b3988,kubelet-bootstrap,10001,"system:kubelet-bootstrapper" 允许 kubelet-bootstrap 用户创建首次启动的 CSR 请求 和RBAC授权规则 kubectl create ...
k8s集群证书更新步骤
ml344739968的专栏
08-22 1590
静态pod如何更新k8s证书
Kubelet 证书自动续期
qq_24794401的博客
11-25 2883
一、问题现象和原因 Kubernetes 日志错误 当 Kubernetes 集群日志中出现 certificate has expired or is not yet valid 错误信息时,表明证书过期 证书过期原因 服务器时间不对,导致证书过期 确实证书过期了 证书过期,很多同学会很疑惑,我证书明明签署10年有效期或者更久,怎么刚1年就过期了,下面就来解惑。 Kubernetes 集群证...
k8s1.18.1用kubeadm安装证书续期
m0_67505824的博客
03-16 645
查看k8s中所有证书的到期时间: kubeadm alpha certs check-expiration image.png 查看CA证书过期时间: openssl x509 -in /etc/kubernetes/pki/ca.crt -noout -text |grep Not image.png 查看集群证书过期时间: openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not '
kubernetes二进制部署
最新发布
01-17
### Kubernetes Binary Deployment Guide #### 准备工作 为了通过二进制文件部署Kubernetes,需先准备环境并下载所需组件。确保所有节点的时间同步非常重要,因为时间不同步可能会引起证书验证失败等问题。 #### 下载二进制文件 可以从官方GitHub仓库获取最新的稳定版本的二进制文件[^1]。对于Linux系统而言,通常会提供tarball压缩包形式供下载。解压后可获得`kubeadm`, `kubelet`, 和 `kubectl`等工具。 #### 配置Master Node 在主节点上执行初始化命令启动集群: ```bash sudo kubeadm init --pod-network-cidr=10.244.0.0/16 ``` 此操作将会设置API Server, Controller Manager以及Scheduler,并生成加入令牌用于后续Worker Nodes连接到Cluster。 #### 安装Pod网络插件 由于上述命令指定了CIDR范围作为Pod IP地址池,在完成初始化之后还需要安装一个CNI兼容的网络解决方案以便让Pod之间能够互相通信。Flannel是一个常见的选择之一: ```bash kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml ``` #### 加入Worker Nodes 拿到由`kubeadm init`输出的join指令,在每一个想要成为worker node的工作站运行该命令即可将其添加至现有cluster中。 #### 验证集群状态 最后可以通过如下命令检查整个集群的状态是否正常运作: ```bash kubectl get nodes ``` 这将展示当前所有的nodes及其ready状况;而要查看具体的pods分布情况则可以使用: ```bash kubectl get pods --all-namespaces -o wide ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值