ETCD证书

自签证书颁发机构(CA)

ca.crt

ca.key

etcd集群中相互通信事业的客户端证书

peer.crt

peer.key

pod中定义Liveness探针事业的客户端证书

healthcheck-client.crt

healrhcheck-client.key

etcd节点服务端证书:

server.crt

server.key

K8S证书

自签证书颁发机构(CA)

ca.crt

ca.key

apiserver组件服务端证书

apiserver.crt

apiserver.key

apiserver连接etcd客户端证书

apiserver-client.crt

apiserver-client.key

apiserver访问kubelet客户端证书

apiserver-kubelet.crt

apiserver-kubelet.key

汇聚层(aggregator)证书

front-proxy-cat.crt

front-proxy-cat.key

代理端使用的客户端证书,左作用代理用户与kube-apiserver认证

front-proxy-client.crt

front-proxy-client.key

kubelet证书:已默认启用自动轮转

检查客户端证书过期时间

kubeadm alpha certs check-expiration

续签所有证书

kubeadm alpha certs renew all

cp /etc/kubernetes/admin.conf /root/.kube/config  #需要手工去拷贝新生产的控制文件

续签证书后需要重启服务,使apiserver重新加载生效

可以将/etc/kubernetes/manifests/  kube开头的yaml文件移走几十秒再移动回去

查看当前目录所有证书有效时间

cd /etc/kubernetes/pki/           #证书存放路径

ls | grep crt | xargs -I {} openssl x509 -text -in {} | grep Not   #查看所有的证书时间

openssl x509 -text -in ca.crt | grep Not    # 查看某个证书的有效时间

kubeadm部署的集群证书有效期一年,一年后证书过期就影响业务了

解决方法:

1、官方推荐:一年之内升级一次集群版本,命令:kubeadm upgrade

2、民间方法:修改源代码,再编译生成kubeadm

3、kubeadm手工更新证书

证书存放路径:/etc/kubernetes/pki/

kubelet证书:用于连接apiserver使用的,会自动颁发和更新过期时间

存储位置在节点上的:/var/lib/kubelet/pki/

[root@node-1 ~]# cd /var/lib/kubelet/pki/ && ls

kubelet-client-2020-08-01-00-48-19.pem  kubelet-client-current.pem  kubelet.crt  kubelet.key

[root@node-1 pki]#

K8S-kubeadm-集群证书续签的更多相关文章

  1. k8s kubernetes 集群 证书更新操作

    转载自https://www.cnblogs.com/kuku0223/p/12978716.html 1. 各个证书过期时间 /etc/kubernetes/pki/apiserver.crt #1 ...

  2. K8S 1.14.6中,将kubeadm集群证书颁发时间延长到100年

    更改两个文件,重新编译kubeadm. 1,D:\kubernetes-1.14.6\staging\src\k8s.io\client-go\util\cert\cert.go // NewSelf ...

  3. k8s集群证书过期(kubeadm 1.10.2 )

    1.k8s 集群架构描述 kubeadm v1.10.2创建k8s集群. master节点高可用,三节点(10.18.60.3.10.18.60.4.10.18.60.5). LVS实现master三 ...

  4. 如何处理 Kubeadm 搭建的集群证书过期问题

    Kubeadm 证书过期处理 以下内容参考了如下链接:https://www.cnblogs.com/skymyyang/p/11093686.html 一.处理证书已过期的集群 使用 kubeadm ...

  5. 手把手带你部署K8s二进制集群

    集群环境准备: [etcd集群证书生成] #mkdir -p k8s/{k8s-cert,etcd-cert}#cd k8s/etcd-cert/ #cat > ca-config.json & ...

  6. 基于k8s的集群稳定架构

    前言 我司的集群时刻处于崩溃的边缘,通过近三个月的掌握,发现我司的集群不稳定的原因有以下几点: 1.发版流程不稳定 2.缺少监控平台[最重要的原因] 3.缺少日志系统 4.极度缺少有关操作文档 5.请 ...

  7. k8S 搭建集群

    k8S 搭建集群1:修改主机名称hostnamectl --static set-hostname masterhostnamectl --static set-hostname node1hostn ...

  8. 前端静态站点在阿里云自建 K8S DevOps 集群上优雅的进行 CI/CD

    目录 网站 域名 K8S DevOps 集群 私有 Gitlab 使用 Docker 编译站点 * Dockerfile * 构建编译 Image * 测试编译 Image * 推送镜像到 Aliyu ...

  9. 基于k8s的集群稳定架构-转载

    基于k8s的集群稳定架构-转载 前言 我司的集群时刻处于崩溃的边缘,通过近三个月的掌握,发现我司的集群不稳定的原因有以下几点: 1.发版流程不稳定 2.缺少监控平台[最重要的原因] 3.缺少日志系统 ...

随机推荐

  1. 万级K8s集群背后etcd稳定性及性能优化实践

    背景与挑战 随着腾讯自研上云及公有云用户的迅速增长,一方面,腾讯云容器服务TKE服务数量和核数大幅增长, 另一方面我们提供的容器服务类型(TKE托管及独立集群.EKS弹性集群.edge边缘计算集群.m ...

  2. 做一名合格的DBA

    Oracle DBA的角色定义 开发型DBA 数据库安装 数据库架构设计(架构和建模) 代码开发(存储过程,SQL) 运维型DBA 数据库日常监控 故障处理 性能优化 数据备份,容灾 数据库安全规划 ...

  3. Q200510-02: 重复的DNA序列 程序解法

    问题:  重复的DNA序列 所有 DNA 都由一系列缩写为 A,C,G 和 T 的核苷酸组成,例如:“ACGAATTCCG”.在研究 DNA 时,识别 DNA 中的重复序列有时会对研究非常有帮助. 编 ...

  4. centOS7 设置mysql数据库外网可以访问

    1.查看目前防火墙是否对外开发了3306端口 firewall-cmd --list-all 2.查看3306端口是否开放 firewall-cmd --query-port=3306/tcp no ...

  5. html基础:js

    js是一种脚本语言.在html中起到操控行为的作用.在html中,html代码如果是一个人的话,那么js就是这个人的行为 js在html的head中被引用,也可以在body中被引用.引用方式用< ...

  6. db2错误代码可能的原因

    一. SQL5005C运行cmd未用管理员权限打开 SQLCODE-303  数据类型不兼容 SQLCODE-305   查出的数据有NULL未处理直接写入接收变量 二.应该不会有人直接写sql用这个 ...

  7. JavaScript 异步编程

    博客地址:https://ainyi.com/96 众所周知,JavaScript 是单线程的,但异步在 js 中很常见,那么简单来介绍一下异步编程 同步编程和异步编程 同步编程,计算机一行一行按顺序 ...

  8. Spring boot中配置HikariCP连接池

    # jdbc_config datasourcespring.datasource.driver-class-name=com.mysql.cj.jdbc.Driverspring.datasourc ...

  9. 使用Golang的singleflight防止缓存击穿

    背景 在使用缓存时,容易发生缓存击穿. 缓存击穿:一个存在的key,在缓存过期的瞬间,同时有大量的请求过来,造成所有请求都去读dB,这些请求都会击穿到DB,造成瞬时DB请求量大.压力骤增. singl ...

  10. 【机器学习】梯度下降 II

    Gradient Descent 梯度下降 II 关于 Gradient Descent 的直观解释,参考上一篇博客[机器学习]梯度下降 I 本模块介绍几种梯度下降模型.定义符号标记如下: \(\th ...