Kubernetes证书使用年限修改方法
 
Kubernetes的apiservice.crt证书默认只有一年的使用期限,查看方法:
cd /etc/kubernetes/pki

[root@Centos8 pki]# openssl x509 -in apiserver.crt -text -noout

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number: 8195991627692645852 (0x71be02f60eb21ddc)

        Signature Algorithm: sha256WithRSAEncryption

        Issuer: CN = kubernetes

        Validity

            Not Before: Apr 11 10:52:03 2020 GMT

            Not After : Apr 11 10:52:03 2021 GMT

...
可以看到,默认的证书到2021年就会过期。
 
但是,并不是Kubernetes内所有的证书期限都是一年,比如下边的ca.crt:
[root@Centos8 pki]# openssl x509 -in ca.crt -text -noout

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number: 0 (0x0)

        Signature Algorithm: sha256WithRSAEncryption

        Issuer: CN = kubernetes

        Validity

            Not Before: Apr 11 10:52:03 2020 GMT

            Not After : Apr  9 10:52:03 2030 GMT

...
此证书的期限就是10年。
 
Kubernetes集群版本在更新时,就会自动更新apiserver.crt证书的使用期限,这可能也是k8s官方设置这一年期限的原因 —— 为了让使用者跟上版本更新的步伐。
但是有一些公司就会选取一个稳定版本一直使用下去,这就会使用本节所介绍的内容:如何修改证书的使用年限。
 
证书修改流程
由于k8s是基于kubeadm安装的,所以只需修改kubeadm源码中的证书期限即可。 kubeadm是采用go语言编写,所以我们要现在本机安装go语言环境,然后将对应版本的kubeadm源码进行修改,修改后重新编译,再用新编译的kubeadm生成新证书即可。
 
1、安装go环境
## 下载

cd /data

wget https://studygolang.com/dl/golang/go1.15.4.linux-amd64.tar.gz

## 解压

tar zxvf go1.15.4.linux-amd64.tar.gz -C /usr/local/

## 添加环境变量

vim /etc/bashrc

...

export PATH=$PATH:/usr/local/go/bin

...

## 刷新

source /etc/bashrc

## 检查环境变量

echo $PATH

/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin:/usr/local/go/bin

## 检查go版本

[root@Centos8 ~]# go version

go version go1.15.4 linux/amd64
2、下载kubernetes项目源码
## 下载

[root@Centos8 ~]# git clone https://github.com/kubernetes/kubernetes.git

## 查看本地kubeadm版本

[root@Centos8 ~]# kubeadm version

kubeadm version: &version.Info{Major:"1", Minor:"15", GitVersion:"v1.15.1"

## 将源码切换至v1.15.1版本

cd kubernetes

git checkout -b remotes/origin/release-1.15.1 v1.15.1
3、修改kubeadm源码包更新证书策略
vim staging/src/k8s.io/client-go/util/cert/cert.go  # kubeadm 1.14版本及之前

vim cmd/kubeadm/app/util/pkiutil/pki_helpers.go  # kubeadm 1.14之后,版本越高,文件可能不一样,还需具体查看官方文档确认

...

func NewSignedCert(cfg *certutil.Config, key crypto.Signer, caCert *x509.Certificate, caKey crypto.Signer) (*x509.Certificate, error) {

  const duration3650d = time.Hour * 24 * 365 * 10  # 在此模块下添加此行,即表示10年,如需100年将10改为100即可

## 上边的常量添加好后,修改下边的NotAfter参数

NotAfter:     time.Now().Add(duration3650d).UTC(),

...

## 更改完成后,重新编译kubeadm

[root@Centos8 kubernetes]# make WHAT=cmd/kubeadm GOFLAGS=-v
4、替换kubeadm命令
## 编译成功后,生成在_output/bin/kubeadm

## 移除旧命令,添加新命令

mv /usr/bin/kubeadm /usr/bin/kubeadm.bak

cp _output/bin/kubeadm /usr/bin/kubeadm && chmod +x /usr/bin/kubeadm

## 备份下pki目录,以防更新失败

[root@Centos8 kubernetes]# cp -a pki pki.old

## 开始使用新kubeadm命令更新证书,--config指定kubeadm-config文件,目录可能不同,根据实际情况更改

[root@Centos8 kubernetes]# kubeadm alpha certs renew all --config=/usr/local/install-k8s/core/kubeadm-config.yaml

certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself renewed

certificate for serving the Kubernetes API renewed

certificate the apiserver uses to access etcd renewed

certificate for the API server to connect to kubelet renewed

certificate embedded in the kubeconfig file for the controller manager to use renewed

certificate for liveness probes to healtcheck etcd renewed

certificate for etcd nodes to communicate with each other renewed

certificate for serving etcd renewed

certificate for the front proxy client renewed

certificate embedded in the kubeconfig file for the scheduler manager to use renewed
5、检查是否更新成功
[root@Centos8 pki]# openssl x509 -in apiserver.crt -text -noout

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number: 5901742195310036191 (0x51e73342036384df)

        Signature Algorithm: sha256WithRSAEncryption

        Issuer: CN = kubernetes

        Validity

            Not Before: Apr 11 10:52:03 2020 GMT

            Not After : Nov 11 08:01:16 2030 GMT
可以看到,证书期限已经成功更新到10年

Kubernetes-21:Apiserver等证书修改使用年限的更多相关文章

  1. Kubernetes中的Helm和修改证书有效时间(八)

    一.Helm的介绍 1,概念 Helm 把 k8s 资源(比如 deployments.services 或 ingress 等)打包到一个 chart 中,而 chart 被保存到 chart 仓库 ...

  2. K8S 使用Kubeadm搭建高可用Kubernetes(K8S)集群 - 证书有效期100年

    1.概述 Kubenetes集群的控制平面节点(即Master节点)由数据库服务(Etcd)+其他组件服务(Apiserver.Controller-manager.Scheduler...)组成. ...

  3. kubernetes 之kubelet客户端证书过期问题处理 KubeClientCertificateExpiration apiserver (monitoring/k8s warning) Kubernetes API certificate is expiring in less than 7 days.

    aaarticlea/png;base64,iVBORw0KGgoAAAANSUhEUgAAB4gAAAKMCAYAAAAZj+XuAAABfGlDQ1BJQ0MgUHJvZmlsZQAAKJFjYG ...

  4. kubernetes 1.17.2 kubeadm部署 证书修改为100年

    [root@hs-k8s-master01 ~]# cd /data/ [root@hs-k8s-master01 data]# ls docker [root@hs-k8s-master01 dat ...

  5. kubernetes的apiserver

    1. API Server简介 k8s API Server提供了k8s各类资源对象(pod,RC,Service等)的增删改查及watch等HTTP Rest接口,是整个系统的数据总线和数据中心. ...

  6. 004.Kubernetes二进制部署创建证书

    一 创建CA证书和密钥 1.1 安装cfssl工具集 [root@k8smaster01 ~]# mkdir -p /opt/k8s/cert [root@k8smaster01 ~]# curl - ...

  7. Centos7部署kubernetes集群CA证书创建和分发(二)

    1.解压软件包 [root@linux-node1 ~]# cd /usr/local/src/ [root@linux-node1 src]# ls k8s-v1.10.1-manual.zip [ ...

  8. 慢到不能忍?别忍了,Ubuntu 21.10 APT 源修改为华为云镜像源

    更新记录 2022年4月15日:本文迁移自Panda666原博客,原发布时间:2021年3月29日. 2022年4月15日:将源改为华为云,华为云更方便.Ubuntu从20.04更新到21.10. 切 ...

  9. 第五章 部署master主控节点

    一.部署etcd集群 1.1 集群规划 主机名 角色 IP hdss7-12 leader 10.4.7.12 hdss7-21 follow 10.4.7.21 hdss7-22 follow 10 ...

随机推荐

  1. CDM 设置 主键自增

    一些朋友在用PD建概念模型时,觉得主键无法设置自增,还需要在生成PDM后,单独再设置一次,很麻烦. 自增主键一般都是整形,int ,long 如果我们在CDM建实体模型时,将自增主键设置为Serial ...

  2. ImpalaTest

    package com.niewj.demo; import java.sql.Connection; import java.sql.DriverManager; import java.sql.R ...

  3. 手写一个Web服务器,极简版Tomcat

    网络传输是通过遵守HTTP协议的数据格式来传输的. HTTP协议是由标准化组织W3C(World Wide Web Consortium,万维网联盟)和IETF(Internet Engineerin ...

  4. Ceph删除OSD上一个异常object

    前言 ceph里面的数据是以对象的形式存储在OSD当中的,有的时候因为磁盘的损坏或者其它的一些特殊情况,会引起集群当中的某一个对象的异常,那么我们需要对这个对象进行处理 在对象损坏的情况下,启动OSD ...

  5. 转载 Web前端开发 HTML设计 经验与技巧总结

    文章目录1.限制input 输入框只能输入纯数字.限制长度.默认显示文字2.input输入框自动获取焦点3.用CSS让背景有透明度文字不变4.a标签禁止点击5.文字两种居中对齐6.设置一个元素一直在页 ...

  6. 打乱Map key - value的对应顺序

    应用场景:对于考试试卷选择题选项的乱序对应问题,防止考生作弊,每个人的题目都是不一样的选项顺序. package com.muyuan.platform.elearning.util; import ...

  7. scala的异常处理try catch

    object Test { def main(args: Array[String]) { try { val f = new FileReader("input.txt") } ...

  8. 又陷入知识盲区了,面试被问SpringBoot集成dubbo,我当时就懵了

    前言 前两天在和粉丝聊天的时候,粉丝跟我说之前在面试的时候被问到SpringBoot这一块的知识被问的有点懵,和我问了不少这方面的东西.事后我想了想不如把这些东西分享出来吧,让更多的人看到,这样不管是 ...

  9. 使用iOS 设备管理器 iMazing导出苹果设备中的录音文件

    iMazing是一款功能强大的苹果设备管理软件,能为用户提供便捷的录音文件导出功能.用户可以直接将录音文件从苹果设备中导出,接下来,就让小编为大家演示一下如何操作吧. 图1:iMazing界面 1.打 ...

  10. 如何使用系统清理缓存软件优化MacBook

    在我们使用我们的Mac一定的时间后,总是不可避免的出现Mac内存不足的情况,所以清理垃圾软件也就成为了我们电脑里必不可少的软件.苹果软件商店中有很多各有不同的清理垃圾软件,但我们往往很难从这一大堆软件 ...