kubeadm 默认证书为一年,一年过期后,会导致api service不可用,使用过程中会出现:x509: certificate has expired or is not yet valid.

方案一 通过修改kubeadm 调整证书过期时间

修改代码,调整过期时间

方案二 通过自动轮换证书默认开启

以下方案通过第二种方法模拟集群证书过期

准备

本次集群版本1.15

备份集群证书(略)

cd /etc/kubernetes

tar czvf kubernetes.tar.gz kubernetes

Master节点:

[root@k8s-master .kube]# hwclock --show

2020年01月21日 星期二 15时16分34秒  -0.856601 秒

[root@k8s-master .kube]# kubectl get nodes

NAME         STATUS   ROLES    AGE    VERSION

k8s-master   Ready    master   167d   v1.15.0

k8s-node1    Ready    node     166d   v1.15.0

[root@k8s-master .kube]# kubeadm alpha certs check-expiration

CERTIFICATE                EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED

admin.conf                 Jan 20, 2021 07:09 UTC   364d            no      

apiserver                  Jan 20, 2021 07:09 UTC   364d            no      

apiserver-etcd-client      Jan 20, 2021 07:09 UTC   364d            no      

apiserver-kubelet-client   Jan 20, 2021 07:09 UTC   364d            no      

controller-manager.conf    Jan 20, 2021 07:09 UTC   364d            no      

etcd-healthcheck-client    Jan 20, 2021 07:09 UTC   364d            no      

etcd-peer                  Jan 20, 2021 07:09 UTC   364d            no      

etcd-server                Jan 20, 2021 07:09 UTC   364d            no      

front-proxy-client         Jan 20, 2021 07:09 UTC   364d            no      

scheduler.conf             Jan 20, 2021 07:09 UTC   364d            no      

[root@k8s-master .kube]#

先生成集群配置文件

kubeadm config view > /root/kubeadm.yaml 

要提前备份一下集群配置文件,当集群证书过期后 此命令也不能执行了

修改时间让集群过期

[root@k8s-master .kube]# date -s "2021-08-08"

2021年 08月 08日 星期日 00:00:00 CST

[root@k8s-master .kube]# date

2021年 08月 08日 星期日 00:00:02 CST

[root@k8s-master .kube]# kubectl get nodes

Unable to connect to the server: x509: certificate has expired or is not yet valid

[root@k8s-master .kube]#

更新证书

[root@k8s-master ~]# kubeadm alpha certs renew all --config=/root/kubeadm.yaml

certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself renewed

certificate for serving the Kubernetes API renewed

certificate the apiserver uses to access etcd renewed

certificate for the API server to connect to kubelet renewed

certificate embedded in the kubeconfig file for the controller manager to use renewed

certificate for liveness probes to healtcheck etcd renewed

certificate for etcd nodes to communicate with each other renewed

certificate for serving etcd renewed

certificate for the front proxy client renewed

certificate embedded in the kubeconfig file for the scheduler manager to use renewed

[root@k8s-master ~]# kubeadm alpha certs check-expiration

CERTIFICATE                EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED

admin.conf                 Aug 07, 2022 16:02 UTC   364d            no      

apiserver                  Aug 07, 2022 16:02 UTC   364d            no      

apiserver-etcd-client      Aug 07, 2022 16:02 UTC   364d            no      

apiserver-kubelet-client   Aug 07, 2022 16:02 UTC   364d            no      

controller-manager.conf    Aug 07, 2022 16:02 UTC   364d            no      

etcd-healthcheck-client    Aug 07, 2022 16:02 UTC   364d            no      

etcd-peer                  Aug 07, 2022 16:02 UTC   364d            no      

etcd-server                Aug 07, 2022 16:02 UTC   364d            no      

front-proxy-client         Aug 07, 2022 16:02 UTC   364d            no      

scheduler.conf             Aug 07, 2022 16:02 UTC   364d            no

重启master节点三个容器:

[root@k8s-master .kube]# docker ps |grep -E 'k8s_kube-apiserver|k8s_kube-controller-manager|k8s_kube-scheduler|k8s_etcd_etcd'|xargs docker restart

98257170f1fb

k8s_kube-apiserver_kube-apiserver-k8s-master_kube-system_db9cf46161351d3a7f76537093caa0b8_10

82c07f5d9b6f

k8s_etcd_etcd-k8s-master_kube-system_2da345f314df09b06ba8257f5457dbed_6

Error response from daemon: No such container: 201c7a840312

Error response from daemon: No such container: kube-apiserver --ad…

Error response from daemon: No such container: 18

Error response from daemon: No such container: months

Error response from daemon: No such container: ago

Error response from daemon: No such container: Up

Error response from daemon: No such container: 18

Error response from daemon: No such container: months

Error response from daemon: No such container: 2c4adeb21b4f

Error response from daemon: No such container: etcd --advertise-cl…

Error response from daemon: No such container: 18

Error response from daemon: No such container: months

Error response from daemon: No such container: ago

Error response from daemon: No such container: Up

Error response from daemon: No such container: 18

Error response from daemon: No such container: months

[root@k8s-master .kube]# kubectl get nodes

NAME         STATUS   ROLES    AGE    VERSION

k8s-master   Ready    master   2y1d   v1.15.0

k8s-node1    Ready    node     2y1d   v1.15.0

[root@k8s-master .kube]# date

2021年 08月 08日 星期日 00:04:33 CST

[root@k8s-master .kube]#

注意同步配置文件:

cp /etc/kubernetes/admin.conf /root/.kube/config

删除.kube下的缓存目录

总结

当集群证书过期时操作步骤:

1.提前备份集群配置文件

 kubeadm config view > /root/kubeadm.yaml

2.更新集群证书

kubeadm alpha certs renew all --config=/root/kubeadm.yaml

3.同步配置文件,清除.kube下缓存

cp /etc/kubernetes/admin.conf /root/.kube/config

kubernetes集群证书更新的更多相关文章

  1. k8s kubernetes 集群 证书更新操作

    转载自https://www.cnblogs.com/kuku0223/p/12978716.html 1. 各个证书过期时间 /etc/kubernetes/pki/apiserver.crt #1 ...

  2. kubernetes集群证书过期之后--转发

    步骤 如果有多master,需要在每个master上进行以下操作. 需要进行以下步骤 重新生成证书 重新生成对应的配置文件 重启docker 和 kubelet 拷贝kubectl 客户端文件 [ro ...

  3. 基于TLS证书手动部署kubernetes集群(下)

    一.master节点组件部署 承接上篇文章--基于TLS证书手动部署kubernetes集群(上),我们已经部署好了etcd集群.flannel网络以及每个节点的docker,接下来部署master节 ...

  4. Kubernetes集群中Service的滚动更新

    Kubernetes集群中Service的滚动更新 二月 9, 2017 0 条评论 在移动互联网时代,消费者的消费行为已经“全天候化”,为此,商家的业务系统也要保持7×24小时不间断地提供服务以满足 ...

  5. Kubernetes 集群部署(1) -- 自签 TLS 证书

    集群功能各模块功能描述: Master节点:主要由四个模块组成,APIServer,schedule, controller-manager, etcd APIServer: APIServer负责对 ...

  6. (转)基于TLS证书手动部署kubernetes集群(下)

    转:https://www.cnblogs.com/wdliu/p/9152347.html 一.master节点组件部署 承接上篇文章--基于TLS证书手动部署kubernetes集群(上),我们已 ...

  7. K8S 使用Kubeadm搭建高可用Kubernetes(K8S)集群 - 证书有效期100年

    1.概述 Kubenetes集群的控制平面节点(即Master节点)由数据库服务(Etcd)+其他组件服务(Apiserver.Controller-manager.Scheduler...)组成. ...

  8. 和我一步步部署 kubernetes 集群

    和我一步步部署 kubernetes 集群 本系列文档介绍使用二进制部署最新 kubernetes v1.6.1 集群的所有步骤,而不是使用 kubeadm 等自动化方式来部署集群: 在部署的过程中, ...

  9. Traefik实现Kubernetes集群服务外部https访问

    转载请注明出处:http://www.cnblogs.com/wayneiscoming/p/7707942.html traefik 是一个前端http反向代理服务器以及负载均衡器,支持多种微服务后 ...

随机推荐

  1. 如何让别人访问我的电脑的vue项目

    步骤: 1.关闭防火墙. 2.修改build/webpack.dev.conf.js中的"const HOST = process.env.HOST"为"const HO ...

  2. TextView 的append后面 马上调用fullScroll(),会发现无法滚动到真正的底部

    如果在TextView的append后面马上调用fullScroll,会发现无法滚动到真正的底部,这是因为Android下很多(如果不是全部的话)函数都是基于消息的,用消息队列来保证同步,所以函数调用 ...

  3. Python爬虫学习笔记(四)

    Request: Test1(基本属性:POST): 代码1: import requests # 发送POST请求 data = { } response = requests.post(url, ...

  4. IDEA SVN 使用

    转: IDEA SVN 使用 一.上传项目到 SVN VCS -> Import into Version Control -> Share Project(Subversion) 点击 ...

  5. 10个顶级Python实用库,推荐你试试!

    为什么我喜欢Python?对于初学者来说,这是一种简单易学的编程语言,另一个原因:大量开箱即用的第三方库,正是23万个由用户提供的软件包使得Python真正强大和流行. 在本文中,我挑选了15个最有用 ...

  6. 如何使用 HttpReports 监控 .NET Core 应用程序

    简介 HttpReports 基于.NET Core 开发的APM监控系统,使用MIT开源协议,主要功能包括,统计, 分析, 可视化, 监控,追踪等,适合在中小项目中使用. github:https: ...

  7. 基于dlib+django+python 实现web端人脸打卡

    face_recognition 基于python+django+dlib实现的人脸打卡系统 开始之前 windows用户需要安装 VS2017 其他VS版本也行 linux用户需要安装c++编译器( ...

  8. go中sync.Cond源码解读

    sync.Cond 前言 什么是sync.Cond 看下源码 Wait Signal Broadcast 总结 sync.Cond 前言 本次的代码是基于go version go1.13.15 da ...

  9. 顶级开源项目 Sentry 20.x JS-SDK 设计艺术(Unified API篇)

    SDK 开发 顶级开源项目 Sentry 20.x JS-SDK 设计艺术(理念与设计原则篇) 顶级开源项目 Sentry 20.x JS-SDK 设计艺术(开发基础篇) 顶级开源项目 Sentry ...

  10. BZOJ_2243 [SDOI2011]染色 【树链剖分+线段树】

    一 题目 [SDOI2011]染色 二 分析 感觉树链剖分的这些题真的蛮考验码力的,自己的码力还是不够啊!o(╯□╰)o 还是比较常规的树链剖分,但是一定记得这里的线段树在查询的时候一定要考虑链于链相 ...