前言

kubeadm 生成的客户端证书在 1 年后到期。过期后,会导致服务不可用,使用过程中会出现:x509: certificate has expired or is not yet valid.

默认情况下,kubeadm 会生成运行一个集群所需的全部证书。但要使用自定义的证书,需要生成各个组件的证书,所以直接修改 kubeadm 源码,将证书的时间延长为100年。

获取源码

下载特定版本源码:https://github.com/kubernetes/kubernetes/releases

或者 git 获取,切换到指定版本

# 查看当前分支

git branch

# 查看所有分支

git tag -l

#切换至1.14.1分支

git checkout v1.14.1

#切换到1.20.8分支

git checkout v1.20.8


git clone https://github.com/kubernetes/kubernetes.git

git checkout -b remotes/origin/release-1.23 v1.23.17

修改源码

修改 CA 有效期为 100 年

vim ./staging/src/k8s.io/client-go/util/cert/cert.go


// 这个方法里面 NotAfter:              now.Add(duration365d * 10).UTC()

// 默认有效期就是 10 年,改成 100 年 (sysin)

// 输入 /NotAfter 查找,回车定位

func NewSelfSignedCACert(cfg Config, key crypto.Signer) (*x509.Certificate, error) {

        now := time.Now()

        tmpl := x509.Certificate{

                SerialNumber: new(big.Int).SetInt64(0),

                Subject: pkix.Name{

                        CommonName:   cfg.CommonName,

                        Organization: cfg.Organization,

                },

                NotBefore:             now.UTC(),

                // NotAfter:              now.Add(duration365d * 10).UTC(),

                NotAfter:              now.Add(duration365d * 100).UTC(),

                KeyUsage:              x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature | x509.KeyUsageCertSign,

                BasicConstraintsValid: true,

                IsCA:                  true,

        }

        certDERBytes, err := x509.CreateCertificate(cryptorand.Reader, &tmpl, &tmpl, key.Public(), key)

        if err != nil {

                return nil, err

        }

        return x509.ParseCertificate(certDERBytes)

}

修改证书有效期为 100 年

vim ./cmd/kubeadm/app/constants/constants.go


// 就是这个常量定义 CertificateValidity,改成 * 100 年 (sysin)

// 输入 /CertificateValidity 查找,回车定位

const (

        // KubernetesDir is the directory Kubernetes owns for storing various configuration files

        KubernetesDir = "/etc/kubernetes"

        // ManifestsSubDirName defines directory name to store manifests

        ManifestsSubDirName = "manifests"

        // TempDirForKubeadm defines temporary directory for kubeadm

        // should be joined with KubernetesDir.

        TempDirForKubeadm = "tmp"

        // CertificateValidity defines the validity for all the signed certificates generated by kubeadm

        // CertificateValidity = time.Hour * 24 * 365

        CertificateValidity = time.Hour * 24 * 365 * 100

        // CACertAndKeyBaseName defines certificate authority base name

        CACertAndKeyBaseName = "ca"

        // CACertName defines certificate name

        CACertName = "ca.crt"

        // CAKeyName defines certificate name

        CAKeyName = "ca.key"

本地编译kubeadm

更新linux编译环境

CentOS:

yum groupinstall "Development Tools" -y #gcc, make etc.

yum install rsync jq -y

Ubuntu:

sudo apt install build-essential #(Following command will install essential commands like gcc, make etc.)

sudo apt install rsync jq -y

安装go环境

或者从这里下载go源码包:https://studygolang.com/dl

wget https://dl.google.com/go/go1.22.linux-amd64.tar.gz

## 或者

# wget https://golang.google.cn/dl/go1.22.linux-amd64.tar.gz

tar zxvf go1.22.linux-amd64.tar.gz  -C /usr/local

# 编辑 / etc/profile 文件添加如下:

export GOROOT=/usr/local/go

export GOPATH=/usr/local/gopath

export PATH=$PATH:$GOROOT/bin

#使环境变量生效

#source /etc/profile

# 这里一次性编译,直接执行如下命令即可

export PATH=$PATH:/usr/local/go/bin

验证:

go version

# 输出如下

go version go1.22 linux/amd64

编译

编译kubeadm

make WHAT=cmd/kubeadm GOFLAGS=-v

编译kubelet

make all WHAT=cmd/kubelet GOFLAGS=-v

编译kubectl

make all WHAT=cmd/kubectl GOFLAGS=-v

编译生成的二进制文件在 _output/bin/ 目录下

查看编译后的版本信息

kubeadm version

替换kubeadm,更新证书

# 将kubeadm 文件拷贝替换系统中原有kubeadm

cp /usr/bin/kubeadm /usr/bin/kubeadm_bak

cp _output/bin/kubeadm /usr/bin/kubeadm

# 备份kube-master节点证书

cp -r /etc/kubernetes/pki /etc/kubernetes/pki_bak

检查证书到期时间

kubeadm certs check-expiration

# 早期版本 (1.19 及之前版本) 命令如下,kubeadm alpha certs 命令 1.20 开始废弃,kubeadm alpha 命令 1.21 开始彻底废弃

kubeadm alpha certs check-expiration

续订全部证书

kubeadm certs renew all

再次查看证书有效期,全部都 100 年了

kubeadm certs check-expiration

k8s v1.19版本之后,自签证书过期x509: certificate has expired or is not yet valid

k8s v1.16.3,Unable to connect to the server: x509: certificate has expired or is not yet valid

Kubernetes 编译 kubeadm 修改证书有效期到 100 年的更多相关文章

  1. Kubernetes v1.22 编译 kubeadm 修改证书有效期到 100 年

    此方法支持以下 kubeadm版本 v1.22到v1.25 kubeadm 默认证书为一年,一年过期后,会导致 api service 不可用,使用过程中会出现:x509: certificate h ...

  2. K8S 使用Kubeadm搭建高可用Kubernetes(K8S)集群 - 证书有效期100年

    1.概述 Kubenetes集群的控制平面节点(即Master节点)由数据库服务(Etcd)+其他组件服务(Apiserver.Controller-manager.Scheduler...)组成. ...

  3. 编译kubeadm使生成证书有效期为100年

    目录 问题 编译 检查结果 问题 当我使用kubeadm部署成功k8s集群时在想默认生成的证书有效期是多久,如下所示 /etc/kubernetes/pki/apiserver.crt #1年有效期 ...

  4. kubernetes 1.17.2 kubeadm部署 证书修改为100年

    [root@hs-k8s-master01 ~]# cd /data/ [root@hs-k8s-master01 data]# ls docker [root@hs-k8s-master01 dat ...

  5. 重新编译kubeadm,修改默认证书时间

    参考 kubeadm alpha certs renew Kubeadm1.14 证书调整 kubeadm 部署的 kubernetes 集群,默认的证书有效时间是1年,需要每年手工更新. 1. 重新 ...

  6. Kubernetes中的Helm和修改证书有效时间(八)

    一.Helm的介绍 1,概念 Helm 把 k8s 资源(比如 deployments.services 或 ingress 等)打包到一个 chart 中,而 chart 被保存到 chart 仓库 ...

  7. 源码编译Kubeadm二进制文件

    kubeadm是Kubernetes官方提供的用于快速安装Kubernetes集群的工具,伴随Kubernetes每个版本的发布都会同步更新,kubeadm会对集群配置方面的一些实践做调整,通过实验k ...

  8. kubernetes使用kubeadm升级集群

    升级前准本  官网: https://kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm-upgrade/查看可升级的组件 [root@h ...

  9. kubernetes之Kubeadm快速安装v1.12.0版

    通过Kubeadm只需几条命令即起一个单机版kubernetes集群系统,而后快速上手k8s.在kubeadm中,需手动安装Docker和kubeket服务,Docker运行容器引擎,kubelet是 ...

  10. kubeSphere+kubernetes 集群更新证书

    模拟问题点 使用kubernetes时错误提示 yang@master:~$ kubectl get nodes Unable to connect to the server: x509: cert ...

随机推荐

  1. Jenkins入门使用

    Jenkins入门使用 1先安装jdk才能运行jenkins yum install -y java-1.8.0-openjdk.x86_64 2 安装jenkins,运行,进行端口绑定,启动jenk ...

  2. UML之包与包图

    了解UML的人都知道UML中也有包的概念,包在UML中作用与面向对象编程语言中类似,它是管理对象的工具,也是解决对象同名冲突的手段. 在UML中,包的表示图形是一个左上角带标签的矩形,而包名可以标注于 ...

  3. NetCore开源项目,适合新手学习

    VerEasy.Core 介绍 这是一个基于 .NET Core 的易开发的框架,附 vue3前端框架.提供了一个高效可扩展的API程序. 支持 JWT 认证.数据库操作.日志记录.异步处理等特性,能 ...

  4. C# 读取本地的TXT文件内容

    using (StreamReader streamReader = new StreamReader("C:\\Users\\zhang\\Desktop\\新建文件夹\\远程开关.txt ...

  5. Many-shot Jailbreaking💘足够长的上下文长度有利于各种越狱?

    这篇文章虽然相较于上一篇图的对应有点迷,但是我感到了作者在强化学习与微调还有数学方面的深厚功底,我甚至感觉他的附录可以再发一篇文章了 这阶段的学习打开了我对越狱的思路~ 禁止盗用,侵权必究!!!欢迎大 ...

  6. IM扫码登录技术专题(三):通俗易懂,IM扫码登录功能详细原理一篇就够

    本文引用了作者"大古同学"的"二维码扫码登录是什么原理"一文的主要内容,为了更好的理解和阅读,即时通讯网收录时有修订和改动,感谢原作者的分享. 1.引言 自从微 ...

  7. linux进入横线 "-" 开头的文件夹

    在linux进行文件操作时,会遇到一类文件是以"-"开头的. 例如我们想要进入名称为-126943579的文件时,我们无法直接使用cd -126943579命令来进入该文件. 那我 ...

  8. web应用分页-copy

    1. 场景描述 目前大部分的应用程序中都会用到分页功能,以便减少前端浏览器及后台服务器的压力,以及其他方面的考虑. (1)分页从概念上可分为逻辑分页和物理分页,逻辑分页主要是通过应用程序(前端或者后端 ...

  9. 第三章 dubbo源码解析目录

    7.6 服务远程暴露 - 注册服务到zookeeper 为了安全:服务启动的ip全部使用10.10.10.10 远程服务的暴露总体步骤: 将ref封装为invoker 将invoker转换为expor ...

  10. DICOM-SCP,可以直接使用的SCP(.net framework 4.6.1以上)控制台接收端

    此程序只能运行在.net framework 4.6.1版本上的环境,如果要运行在低版本环境,请看上一篇文档 using System; using System.IO; using System.T ...