前言

kubeadm 生成的客户端证书在 1 年后到期。过期后,会导致服务不可用,使用过程中会出现:x509: certificate has expired or is not yet valid.

默认情况下,kubeadm 会生成运行一个集群所需的全部证书。但要使用自定义的证书,需要生成各个组件的证书,所以直接修改 kubeadm 源码,将证书的时间延长为100年。

获取源码

下载特定版本源码:https://github.com/kubernetes/kubernetes/releases

或者 git 获取,切换到指定版本

# 查看当前分支

git branch

# 查看所有分支

git tag -l

#切换至1.14.1分支

git checkout v1.14.1

#切换到1.20.8分支

git checkout v1.20.8


git clone https://github.com/kubernetes/kubernetes.git

git checkout -b remotes/origin/release-1.23 v1.23.17

修改源码

修改 CA 有效期为 100 年

vim ./staging/src/k8s.io/client-go/util/cert/cert.go


// 这个方法里面 NotAfter:              now.Add(duration365d * 10).UTC()

// 默认有效期就是 10 年,改成 100 年 (sysin)

// 输入 /NotAfter 查找,回车定位

func NewSelfSignedCACert(cfg Config, key crypto.Signer) (*x509.Certificate, error) {

        now := time.Now()

        tmpl := x509.Certificate{

                SerialNumber: new(big.Int).SetInt64(0),

                Subject: pkix.Name{

                        CommonName:   cfg.CommonName,

                        Organization: cfg.Organization,

                },

                NotBefore:             now.UTC(),

                // NotAfter:              now.Add(duration365d * 10).UTC(),

                NotAfter:              now.Add(duration365d * 100).UTC(),

                KeyUsage:              x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature | x509.KeyUsageCertSign,

                BasicConstraintsValid: true,

                IsCA:                  true,

        }

        certDERBytes, err := x509.CreateCertificate(cryptorand.Reader, &tmpl, &tmpl, key.Public(), key)

        if err != nil {

                return nil, err

        }

        return x509.ParseCertificate(certDERBytes)

}

修改证书有效期为 100 年

vim ./cmd/kubeadm/app/constants/constants.go


// 就是这个常量定义 CertificateValidity,改成 * 100 年 (sysin)

// 输入 /CertificateValidity 查找,回车定位

const (

        // KubernetesDir is the directory Kubernetes owns for storing various configuration files

        KubernetesDir = "/etc/kubernetes"

        // ManifestsSubDirName defines directory name to store manifests

        ManifestsSubDirName = "manifests"

        // TempDirForKubeadm defines temporary directory for kubeadm

        // should be joined with KubernetesDir.

        TempDirForKubeadm = "tmp"

        // CertificateValidity defines the validity for all the signed certificates generated by kubeadm

        // CertificateValidity = time.Hour * 24 * 365

        CertificateValidity = time.Hour * 24 * 365 * 100

        // CACertAndKeyBaseName defines certificate authority base name

        CACertAndKeyBaseName = "ca"

        // CACertName defines certificate name

        CACertName = "ca.crt"

        // CAKeyName defines certificate name

        CAKeyName = "ca.key"

本地编译kubeadm

更新linux编译环境

CentOS:

yum groupinstall "Development Tools" -y #gcc, make etc.

yum install rsync jq -y

Ubuntu:

sudo apt install build-essential #(Following command will install essential commands like gcc, make etc.)

sudo apt install rsync jq -y

安装go环境

或者从这里下载go源码包:https://studygolang.com/dl

wget https://dl.google.com/go/go1.22.linux-amd64.tar.gz

## 或者

# wget https://golang.google.cn/dl/go1.22.linux-amd64.tar.gz

tar zxvf go1.22.linux-amd64.tar.gz  -C /usr/local

# 编辑 / etc/profile 文件添加如下:

export GOROOT=/usr/local/go

export GOPATH=/usr/local/gopath

export PATH=$PATH:$GOROOT/bin

#使环境变量生效

#source /etc/profile

# 这里一次性编译,直接执行如下命令即可

export PATH=$PATH:/usr/local/go/bin

验证:

go version

# 输出如下

go version go1.22 linux/amd64

编译

编译kubeadm

make WHAT=cmd/kubeadm GOFLAGS=-v

编译kubelet

make all WHAT=cmd/kubelet GOFLAGS=-v

编译kubectl

make all WHAT=cmd/kubectl GOFLAGS=-v

编译生成的二进制文件在 _output/bin/ 目录下

查看编译后的版本信息

kubeadm version

替换kubeadm,更新证书

# 将kubeadm 文件拷贝替换系统中原有kubeadm

cp /usr/bin/kubeadm /usr/bin/kubeadm_bak

cp _output/bin/kubeadm /usr/bin/kubeadm

# 备份kube-master节点证书

cp -r /etc/kubernetes/pki /etc/kubernetes/pki_bak

检查证书到期时间

kubeadm certs check-expiration

# 早期版本 (1.19 及之前版本) 命令如下,kubeadm alpha certs 命令 1.20 开始废弃,kubeadm alpha 命令 1.21 开始彻底废弃

kubeadm alpha certs check-expiration

续订全部证书

kubeadm certs renew all

再次查看证书有效期,全部都 100 年了

kubeadm certs check-expiration

k8s v1.19版本之后,自签证书过期x509: certificate has expired or is not yet valid

k8s v1.16.3,Unable to connect to the server: x509: certificate has expired or is not yet valid

Kubernetes 编译 kubeadm 修改证书有效期到 100 年的更多相关文章

  1. Kubernetes v1.22 编译 kubeadm 修改证书有效期到 100 年

    此方法支持以下 kubeadm版本 v1.22到v1.25 kubeadm 默认证书为一年,一年过期后,会导致 api service 不可用,使用过程中会出现:x509: certificate h ...

  2. K8S 使用Kubeadm搭建高可用Kubernetes(K8S)集群 - 证书有效期100年

    1.概述 Kubenetes集群的控制平面节点(即Master节点)由数据库服务(Etcd)+其他组件服务(Apiserver.Controller-manager.Scheduler...)组成. ...

  3. 编译kubeadm使生成证书有效期为100年

    目录 问题 编译 检查结果 问题 当我使用kubeadm部署成功k8s集群时在想默认生成的证书有效期是多久,如下所示 /etc/kubernetes/pki/apiserver.crt #1年有效期 ...

  4. kubernetes 1.17.2 kubeadm部署 证书修改为100年

    [root@hs-k8s-master01 ~]# cd /data/ [root@hs-k8s-master01 data]# ls docker [root@hs-k8s-master01 dat ...

  5. 重新编译kubeadm,修改默认证书时间

    参考 kubeadm alpha certs renew Kubeadm1.14 证书调整 kubeadm 部署的 kubernetes 集群,默认的证书有效时间是1年,需要每年手工更新. 1. 重新 ...

  6. Kubernetes中的Helm和修改证书有效时间(八)

    一.Helm的介绍 1,概念 Helm 把 k8s 资源(比如 deployments.services 或 ingress 等)打包到一个 chart 中,而 chart 被保存到 chart 仓库 ...

  7. 源码编译Kubeadm二进制文件

    kubeadm是Kubernetes官方提供的用于快速安装Kubernetes集群的工具,伴随Kubernetes每个版本的发布都会同步更新,kubeadm会对集群配置方面的一些实践做调整,通过实验k ...

  8. kubernetes使用kubeadm升级集群

    升级前准本  官网: https://kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm-upgrade/查看可升级的组件 [root@h ...

  9. kubernetes之Kubeadm快速安装v1.12.0版

    通过Kubeadm只需几条命令即起一个单机版kubernetes集群系统,而后快速上手k8s.在kubeadm中,需手动安装Docker和kubeket服务,Docker运行容器引擎,kubelet是 ...

  10. kubeSphere+kubernetes 集群更新证书

    模拟问题点 使用kubernetes时错误提示 yang@master:~$ kubectl get nodes Unable to connect to the server: x509: cert ...

随机推荐

  1. Typora设置自定义脚本上传图片

    搭建图床服务 这里利用CloudFlare搭建免费的图床服务 cf-image-hosting 部署Pages $ git clone https://github.com/ifyour/cf-ima ...

  2. EPPlus使用方法---Excel处理我觉得超级好用

    目前只是用到导出Excel功能,导出大规模数据量速度也很快,而且比较容易操作(最起码导出是,暂时没有用到处理已存在的excel功能,有人说NPOI也好用,试了一下,最起码导出这个不如EPPlus    ...

  3. WebSocket硬核入门:200行代码,教你徒手撸一个WebSocket服务器

    本文原题"Node.js - 200 多行代码实现 Websocket 协议",为了提升内容品质,有较大修订. 1.引言 最近正在研究 WebSocket 相关的知识,想着如何能自 ...

  4. tomcat源码分析(一)如何启动服务

    从startup.sh入手 os400=false case "`uname`" in OS400*) os400=true;; esac PRG="$0" w ...

  5. 按部就班--从零开始建设k8s监控(二)

    前言 书接上文,prometheus已经安装好了,并且能够对k8s的整体状态进行监控,但是我们还需要更多 环境准备 组件 版本 操作系统 Ubuntu 22.04.4 LTS docker 24.0. ...

  6. Note / Solution Set -「Binomial Sum」两道例题

      删本地文件的时候瞟了一眼内容 ... 这篇好像忘记发布了?   给定 \(n,k\), 求出 \[\textit{ans}=\sum_{i=0}^n\binom{n}{i}i^k\bmod(10^ ...

  7. Solution -「ZJOI 2015」「洛谷 P3343」地震后的幻想乡

    \(\mathscr{Description}\)   Link.   给定连通图简单无向 \(G=(V,E)\),对于 \(e\in E\),有边权 \(t_e\) 独立均匀随机生成自 \([0,1 ...

  8. 《CUDA编程:基础与实践》读书笔记(5):统一内存编程

    统一内存(unified memory)是一种逻辑上的概念,它既不是显存.也不是主机内存,而是CPU和GPU都可以访问并能保证一致性的虚拟存储器.使用统一内存对硬件有较高的要求: 对于所有功能,GPU ...

  9. weixueyuan-Nginx HTTP模块3

    https://www.weixueyuan.net/nginx/http/ Nginx镜像模块:ngx_http_mirror_module Nginx 中镜像模块的功能是将用户的访问请求镜像复制到 ...

  10. .NET 数据拷贝方案选择

    应用中我们经常使用到数据的复制,在.NET中有多种方式可以实现复制数据或对象.选择哪种方式通.是浅拷贝还是深拷贝,取决于对象的复杂性.数据量以及具体需求场景. 1. MemberwiseClone拷贝 ...