K8S 证书过期后,kubeadm 重新生成证书

最新推荐文章于 2024-05-18 14:56:04 发布
原创 最新推荐文章于 2024-05-18 14:56:04 发布 · 1.3k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生

文章介绍了如何检查K8S证书是否过期,包括使用kubeadm命令和openssl命令。当证书接近过期时,可以通过kubeadm的alpha功能手动更新,涉及步骤包括证书备份、删除旧证书、重新生成、更新配置文件以及重启kubelet等。自动更新通常在Kubernetes组件升级时进行。

前言

K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/pki 路径下,kubeadm 生成的证书默认有效为 1 年,因此需要定时更新证书,否则证书到期会导致整个集群不可用。

本篇文章主要介绍如何通过 kubeadm 重新生成证书。
 

一. 检查证书是否过期

1. kubeadm 命令查看

 kubeadm alpha certs check-expiration

  • 注:该命令仅在 v.15 之后的版本可用。

 

2 openssl 命令查看

版本过低无法使用 kubeadm 命令时,可以通过 openssl 查看对应证书是否过期

$ openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not '
        &n

最低0.47元/天 解锁文章
zhangchang3
关注
K8S 证书过期不能使用kubectl之后,kubeadm 重新生成证书
阿文的博客
05-30 745
【代码】K8S 证书过期不能使用kubectl之后,kubeadm 重新生成证书
kubernetes(1.23)证书过期如何续期
老段工作室
04-27 3158
通过kubeadm安装的kubernetes集群各个组件所使用证书的期限为1年,本实验练习的是到期之后如何续期。
k8s-证书管理之cert-manager自动生成证书
zerotoall的博客
04-24 1431
cert-manager是基于ACME协议与Let's Encrypt来签发免费证书并自动续期,实现永久免费使用证书Kubernetes提供了基于CA签名的双向数字证书认证方式和简单的基于HTTP Base或Token的认证方式,其中CA证书方式的安全性最高。
k8s证书更新
kali_yao的博客
02-21 7219
1.故障现象 k8s安装一年后证书显示过期证书未自动续期。 2.更新过程 一下操作需到所有master节点操作 下载kubeadm 一般情况下,k8s创建的集群节点上的/usr/bin/文件夹下会存在kubeadm二进制文件,如果发现master节点上没有kubeadm,可以从官方下载。以amd64架构1.16.9版本的kubeadm为例子,可以通过curl -L --remote-name-all https://storage.googleapis.com/kubernetes-r
K8s证书过期重新生成证书(1.15+版本)
为梦想奋斗
01-11 2115
最近在使用kubectl管理本地测试k8s集群时报错(k8s Unable to connect to the server: x509: certificate has expired or is not yet valid),首先想到的是服务部属已经挺久了应该是证书过期导致,一番网络大法后操作记录如下。 最前面当然是先备份 /etc/kubernetes 目录 cp -Ra /etc/kubernetes /tmp/kubernetes-backup 在操作之前可以使用以下命令查看证书时间,k
kubeadm 重新生成证书
doublepg13的博客
11-21 1082
路径下,kubeadm 生成证书默认有效为 1 年,因此需要定时更新证书,否则证书到期会导致整个集群不可用。完成证书和配置文件的更新后,需要进行一系列后续操作保证更新生效,主要包括重启 kubelet、api-server、schedule等更新管理配置。Kubenetes 在升级控制面板相关组件时会主动更新证书,因此如果保证 Kubernetes 能够定期(一年以内)升级的话,证书会自动更新。将新生成的 admin.conf 文件拷贝,替换 ~/.kube 目录下的 config 文件。
k8s证书过期kubeadm重新生成证书
oopxiajun博客专栏
12-07 862
检查过期 新版本(1.15+):kubeadm alpha certs check-expiration 或 openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not ' 其他同理 证书备份 cp -rp /etc/kubernetes /etc/kubernetes.bak 移除过期证书 rm -f /etc/kubernetes/pki/apiserver* rm -f /etc/kuber
精选资源
kubeadm初始化k8s证书过期解决方案
最新发布
05-23
### kubeadm初始化k8s证书过期解决方案 #### 概述 Kubernetes(简称k8s)作为当前主流的容器编排工具之一,在实际部署过程中常常采用kubeadm进行快速部署与管理。然而,在长期运行的过程中,kubeadm初始化时生成的...
精选资源
k8s证书过期处理方案
11-17
如果没有这个文件,可能需要恢复到一个备份的kubeconfig文件,或者在没有配置文件的情况下,手动调整服务器时间回到证书过期前,然后重新生成配置文件。 如果你没有配置文件且无法恢复,可以考虑以下步骤: - 将`...
kubeadm 部署的 k8s 增加 ip 并重新生成证书
以梦为马|越骑越傻
08-20 2605
kubeadm 部署的 k8s 增加 ip 并重新生成证书
k8s采坑记 - 证书过期kubeadm重新生成证书
weixin_30666401的博客
08-07 1057
重新生成证书 证书备份 cp -rp /etc/kubernetes /etc/kubernetes.bak 移除过期证书 rm -f /etc/kubernetes/pki/apiserver* rm -f /etc/kubernetes/pki/front-proxy-client.* rm -rf /etc/kubernetes/pki/etcd/healthcheck-clien...
k8s证书过期处理 手动生成证书、凭证
寂夜了无痕的博客
05-18 1987
k8s证书过期处理 手动生成证书、凭证
K8Skubeadm版)更新证书
ArrogantB的博客
03-18 3239
k8s证书过期更换,kubeadm方式更换证书
k8s- kubernetes证书过期替换之kubeadm命令 certs renew all方式
liuyij3430448的博客
04-27 7826
**k8s集群之间的访问会使用到证书,如果使用kubeadm搭建的集群,默认CA证书的有效期为10年,其他组件访问证书的有效期为1年。如果过期后没有更新证书可能会引起k8s集群的不可用**
Kubernetes kubeadm 证书到期,更新证书
大漠知秋的加油站
08-27 9623
Kubernetes kubeadm 证书到期,更新证书 版本 服务 版本 CentOS 7.8 Kubernetes 1.18.x 证书问题   可能很多人在一开始学习 k8s 的时候,没有注意过证书的问题,在使用 kubeadm 安装 k8s 单机/集群的过程中就是一路往下,如果是学习或者测试使用,使用完毕之后就把虚拟机或者临时云服务器删除了,那也不会发现证书问题。如果这个 k8s 环境要使用 1 年以上,就会碰到这个问题,因为默认证书有效期为 1 年,CA 根证书是 10 年:
kubeadm 更新证书
liulu07的博客
07-22 259
k8s 证书更新记录
关于k8s集群证书1年过期后,使用kubadm重新生成证书及kubeconfig配置文件的变化...
weixin_30379531的博客
08-13 1348
这个证书很重要,不用说。 但手工生成证书,确实工作量大且容易出错。 推荐的方式,是保留/etc/kubernetes/pki目录下的ca.crt,ca.key,sa.crt,sa.key。 这四个文件,前两个是10年过期,后两个没有过期概念,可以保证现有群集的顺利升级证书。 然后,使用kubeadm命令,来解决证书过期问题。 但kubeadm生成证书和配置的命令,在1.10和...
[云原生k8s] k8s的CA证书创建和使用
weixin_71429850的博客
11-03 2607
Etcd 是一个分布式键值存储系统,Kubernetes 使用 Etcd 进行数据存储,所以先准备 一个 Etcd 数据库,为解决 Etcd 单点故障,应采用集群方式部署,这里使用 3 台组建集 群,可容忍 1 台机器故障,当然,你也可以使用 5 台组建集群,可容忍 2 台机器故障。ETCD_INITIAL_CLUSTER_STATE:加入集群的当前状态,new 是新集群,existing 表示加入 已有集群。ETCD_INITIAL_ADVERTISE_PEER_URLS:集群通告地址。
k8s:通过域名生成证书
weixin_42072280的博客
03-29 1560
正确方式 "hosts": [ "*.etcd" ], 完整生成证书的示例见附件 [root@node1 certs]# cat /root/k8s/cfg/etcd ETCD_OPTS="--name=etcd-2 \ --listen-peer-urls=https://192.168.56.169:2380 \ --initial-advertise-peer-urls=https://etcd2.etcd:2380 \ --listen-client-urls=http
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值