2. 程式人生 > >kubernetes實戰(十七):k8s證書過期處理

kubernetes實戰(十七):k8s證書過期處理

阿新 發佈:2019-01-05

1、說明


    一般正常安裝k8s叢集,叢集證書的有效期是一年,包括以下證書:
    - apiserver
    - apiserver-kubelet-client
    - apiserver-etcd-client
    - front-proxy-client
    - etcd/server
    - etcd/peer
    - etcd/healthcheck-client

2、證書過期問題解決辦法

對於手動生成的證書

    手動安裝過程中,只需指定證書的過期時間為N天即可

對於kubeadm

    方式一:升級K8S叢集,自動更新證書
    方式二:修改kubeadm並重新編譯
    方式三:重新生成證書

3、過期處理

報錯資訊

    [[email protected] ~]# kubectl get po
    Unable to connect to the server: x509: certificate has expired or is not yet valid

日誌資訊

    The currently active client certificate has expired, but the server is not responsive. A restart may be necessary to retrieve new initial credentials.

證書備份

    cp -rp /etc/kubernetes /etc/kubernetes.bak

apiserver證書

    [[email protected] ~]# rm -f /etc/kubernetes/pki/apiserver*

front-proxy-client證書

    [[email protected] ~]# rm -f /etc/kubernetes/pki/front-proxy-client.*

etcd證書

    rm -rf /etc/kubernetes/pki/etcd/healthcheck-client.*
    rm -rf /etc/kubernetes/pki/etcd/server.*
    rm -rf /etc/kubernetes/pki/etcd/peer.*

重新生成證書

[[email protected] ~]# /opt/kubeadm alpha phase certs all --config kubeadm-config.yaml 
[certificates] Generated apiserver-kubelet-client certificate and key.
[certificates] Generated apiserver certificate and key.
[certificates] apiserver serving cert is signed for DNS names [k8s-master02 kubernetes kubernetes.default kubernetes.default.svc kubernetes.default.svc.cluster.local k8s-master01 k8s-master02 k8s-master03 k8s-master-lb] and IPs [10.96.0.1 192.168.20.21 192.168.20.10 192.168.20.20 192.168.20.21 192.168.20.22 192.168.20.10]
[certificates] Generated front-proxy-client certificate and key.
[certificates] Generated etcd/healthcheck-client certificate and key.
[certificates] Generated apiserver-etcd-client certificate and key.
[certificates] Generated etcd/server certificate and key.
[certificates] etcd/server serving cert is signed for DNS names [k8s-master02 localhost k8s-master02] and IPs [127.0.0.1 ::1 192.168.20.21]
[certificates] Generated etcd/peer certificate and key.
[certificates] etcd/peer serving cert is signed for DNS names [k8s-master02 localhost k8s-master02] and IPs [192.168.20.21 127.0.0.1 ::1 192.168.20.21]
[certificates] valid certificates and keys now exist in "/etc/kubernetes/pki"
[certificates] Using the existing sa key.

重新生成配置檔案

[[email protected] ~]# mv /etc/kubernetes/
admin.conf               kubelet.conf             pki/                     scheduler.conf
controller-manager.conf  manifests/               pki.bak/                 tmp/
[[email protected] ~]# mv /etc/kubernetes/*.conf /tmp/
[[email protected] ~]# /opt/kubeadm alpha phase kubeconfig all --config kubeadm-config.yaml 
[endpoint] WARNING: port specified in controlPlaneEndpoint overrides bindPort in the controlplane address
[kubeconfig] Wrote KubeConfig file to disk: "/etc/kubernetes/admin.conf"
[kubeconfig] Wrote KubeConfig file to disk: "/etc/kubernetes/kubelet.conf"
[kubeconfig] Wrote KubeConfig file to disk: "/etc/kubernetes/controller-manager.conf"
[kubeconfig] Wrote KubeConfig file to disk: "/etc/kubernetes/scheduler.conf"

重啟kubelet

    [[email protected] ~]# systemctl restart kubelet

4、叢集確認

證書過期時間確認

    # 注意:cfssl需要自行安裝
    [[email protected] ~]# cfssl-certinfo -cert /etc/kubernetes/pki/etcd/server.crt | grep not
      "not_before": "2018-11-30T07:45:08Z",
      "not_after": "2117-11-16T06:07:00Z",

叢集狀態確認

    [[email protected] ~]# kubectl get no
    NAME           STATUS   ROLES    AGE     VERSION
    k8s-master01   Ready    master   6d22h   v1.12.3
    k8s-master02   Ready    master   6d22h   v1.12.3
    k8s-master03   Ready    master   6d22h   v1.12.3
    k8s-node01     Ready    <none>   6d21h   v1.12.3
    k8s-node02     Ready    <none>   6d21h   v1.12.3

相關推薦

kubernetes實戰()k8s證書過期處理

1、說明 一般正常安裝k8s叢集,叢集證書的有效期是一年,包括以下證書: - apiserver - apiserver-kubelet-client - apiserver-etcd-client - front-proxy-client - etcd/s

kubernetes實戰(一)k8s使用openLDAP統一認證

rip ast ops port nmp 更改 create 密碼 lin 1、基本概念   為了方便管理和集成jenkins,k8s、harbor、jenkins均使用openLDAP統一認證。 2、部署openLDAP   根據之前的文檔,openLDAP使用GFS

kubernetes實戰(二)k8s使用helm持久化部署redmine整合openLDAP

1、基本概念   此次安裝的有Jenkins、Gitlab、Redmine,我公司目前使用的是獨立於k8s叢集之外單獨部署的Jenkins等服務,此文章會介紹三種服務基於k8s的部署方式,之後整合之前部署的openLDAP實現統一認證。之後將進行簡單持續整合持續部署的演示,最後再結合我公司的專案進行實戰操作

kubernetes實戰(四)k8s持久化部署gitlab集成openLDAP登錄

don vol stat storage per 實現 dep 拉取 chang 1、基本概念   使用k8s安裝gitlab-ce,采用GlusterFS實現持久化,並集成了openLDAP。   註意:我公司使用的gitlab是獨立於k8s集群之外的。 2、安裝部署

kubernetes實戰(六)k8s高可用叢集平滑升級 v1.11.x 到v1.12.x

1、基本概念   升級之後所有的containers會重啟,因為hash值會變。   不可跨版本升級。   2、升級Master節點   當前版本 [[email protected] ~]# kubeadm version kubeadm version: &v

kubernetes實戰()k8s使用Helm安裝harbor

1、基本概念   對於複雜的應用中介軟體,需要設定映象執行的需求、環境變數,並且需要定製儲存、網路等設定,最後設計和編寫Deployment、Configmap、Service及Ingress等相關yaml配置檔案,再提交給kubernetes進行部署。這些複雜的過程將逐步被Helm應用包管理工具實現。   

CrazyWingPython自動化運維開發實戰 、Python異常

注:本文為轉載,如有侵權請告知,將予以刪除 原連結:http://blog.51cto.com/fklinux/2050881   導語: 在寫程式碼的時候,經常會遇到異常。 python提供了兩個功能來處理程式在執行中出現的異常和錯誤,可以使用該功能來除錯python程式

Android實戰技巧之三圖片的Base64編解碼

通常用Base64這種編解碼方式將二進位制資料轉換成可見的字串格式,就是我們常說的大串,10塊錢一串的那種,^_^。 Android的android.util包下直接提供了一個功能十分完備的Base64類供我們使用,下面就演示一下如何將一張圖片進行Base64

Web前端面試指導()一個滿屏 品 字布局 如何設計?

web前端題目點評這道題目有可能是筆試題,有可能面談的時候進行敘述,如果是筆試題要求對css樣式代碼非常熟練,如果是面談敘述,就需要你的表達能力非常強,要抓住要點,把需要用到的技能點講清楚就可以了。需要用到技術1. 元素水平居中對齊1) 使用margin對齊(推薦)2) 使

【Java並發編程】之深入Java內存模型—內存操作規則總結

tle 沒有 article 類型 javase 感知 執行引擎 要求 lock 轉載請註明出處:http://blog.csdn.net/ns_code/article/details/17377197 主內存與工作內存 Java內存模型的主要目標是定義程序中

Eclipse使用方法和技巧二定義自己的高速聯想詞

方法 同事 mod 字符串 步驟 使用 div 選擇 習慣 某天在調試代碼的時候。盡管是android的project還是習慣的輸入syso。然後在ALT+/一下。旁邊的同事就問了一下,這個log打印輸出的tag是什麽。接著又問了為什麽sys

輕松學習JavaScript二DOM編程學習之事件模型

經歷 學習 不存在 obj 發生 rip gb2 article 不支持 在介紹事件模型之前,我們先來看什麽是事件和什麽是event對象。 一事件介紹 JavaScript事件是由訪問Web頁面的用戶引起的一系列操作,使

求日期

pri urn tro 整數 else 格式 int pre -m 問題 : 求日期題目描述已知今天是2015年11月14日,求n天後的日期輸入輸入一個整數輸出日期。格式Y-M-D樣例輸入100樣例輸出 2016-2-22 1 #include<stdio.h&g

Java並發編程原理與實戰AQS 剖析

影響 clu cbo 大神 ping 方法 extc 共享鎖 一次 一、引言在JDK1.5之前,一般是靠synchronized關鍵字來實現線程對共享變量的互斥訪問。synchronized是在字節碼上加指令,依賴於底層操作系統的Mutex Lock實現。而從JDK1.5以

ballerina 學習二 專案k8s部署&& 執行

ballerina k8s 部署和docker 都是同樣的簡單,編寫service 添加註解就可以了 參考專案 https://ballerina.io/learn/by-guide/restful-service/ 專案準備 專案程式碼 import ballerina/h

練習python辨別資料型別

關於python辨別資料型別可以用python type()方法,那麼想要檢視一串字元中每項型別,並逐一輸出要怎麼處理?看下我是怎麼處理的 習題要求:輸入一行字元,分別統計其中英文字母、數字、空格、和其他字元的格式 1 string = input("輸入要統計的內容:") 2 letter,d

elasticsearch 筆記基於scroll技術滾動搜尋大量的資料

        如果一次性要查出來比如10萬條資料,那麼效能會很差,此時一般會採取用scoll滾動查詢,一批一批的查,直到所有資料都查詢完處理完。使用scoll滾動搜尋,可以先搜尋一批資料,然後下次再搜尋一批資料,以此類推,直到搜尋出全部的資料來 scol

路一步步走>> 設計模式Mediator-中介者

package com.test.DPs.XingWei.Mediator; /** * 行為型:Mediator-中介者 外觀:作用面為 物件 * * 用途:用一箇中介物件來封裝一系列的物件互動。 * 中介者使個物件不需要顯示的相互引用,從而使其耦合鬆散,而且可獨立改變它們

springboot()使用Spring Boot上傳檔案

上傳檔案是網際網路中常常應用的場景之一,最典型的情況就是上傳頭像等,今天就帶著帶著大家做一個Spring Boot上傳檔案的小案例。 1、pom包配置 我們使用Spring Boot最新版本1.5.9、jdk使用1.8、tomcat8.0。 <parent&g

opencv學習筆記五基於分水嶺的影象分割

#include<opencv2\opencv.hpp> using namespace cv; using namespace std; int main(int arc, char** argv) { Mat src = imread("1.jpg");