证书更新

  • 默认证书一年有效期
  • 一旦证书过期,使用kubectl时会出现如下提示:`Unable to connect to the server: x509: certificate has expired or is not yet valid`

查看证书过期情况

 [root@k8s-test-master- ~]# kubeadm alpha certs check-expiration

 CERTIFICATE EXPIRES RESIDUAL TIME EXTERNALLY MANAGED

 admin.conf Jul ,  : UTC 364d no

 apiserver Jul ,  : UTC 364d no

 apiserver-etcd-client Jul ,  : UTC 364d no

 apiserver-kubelet-client Jul ,  : UTC 364d no

 controller-manager.conf Jul ,  : UTC 364d no

 etcd-healthcheck-client Jul ,  : UTC 364d no

 etcd-peer Jul ,  : UTC 364d no

 etcd-server Jul ,  : UTC 364d no

 front-proxy-client Jul ,  : UTC 364d no

 scheduler.conf Jul ,  : UTC 364d no

 # 查看根CA证书的有效期(十年)

 [root@k8s-test-master- pki]# cd /etc/kubernetes/pki

 [root@k8s-test-master- pki]# ls | grep ca.crt | xargs -I {} openssl x509 -text -in {} | grep "Not After"

 Not After : Jul  ::  GMT

 Not After : Jul  ::  GMT

证书目录结构

[root@k8s-test-master- pki]# pwd

/etc/kubernetes/pki

[root@k8s-test-master- pki]# tree .

.

├── apiserver.crt

├── apiserver-etcd-client.crt

├── apiserver-etcd-client.key

├── apiserver.key

├── apiserver-kubelet-client.crt

├── apiserver-kubelet-client.key

├── ca.crt

├── ca.key

├── etcd

│   ├── ca.crt

│   ├── ca.key

│   ├── healthcheck-client.crt

│   ├── healthcheck-client.key

│   ├── peer.crt

│   ├── peer.key

│   ├── server.crt

│   └── server.key

├── front-proxy-ca.crt

├── front-proxy-ca.key

├── front-proxy-client.crt

├── front-proxy-client.key

├── sa.key

└── sa.pub

 directory,  files

Kubernetes 集群根证书

/etc/kubernetes/pki/ca.crt

/etc/kubernetes/pki/ca.key

由此根证书签发的证书有:
  • 1,kube-apiserver 组件持有的服务端证书
  /etc/kubernetes/pki/apiserver.crt
  /etc/kubernetes/pki/apiserver.key
  • 2,kubelet 组件持有的客户端证书
  /etc/kubernetes/pki/apiserver-kubelet-client.crt
  /etc/kubernetes/pki/apiserver-kubelet-client.key
kubelet 上一般不会明确指定服务端证书, 而是只指定 ca 根证书, 让 kubelet 根据本地主机信息自动生成服务端证书并保存到配置的cert-dir文件夹中。

汇聚层(aggregator)证书

/etc/kubernetes/pki/front-proxy-ca.crt
/etc/kubernetes/pki/front-proxy-ca.key
由此根证书签发的证书只有一组:
  • 1,代理端使用的客户端证书, 用作代用户与 kube-apiserver 认证
/etc/kubernetes/pki/front-proxy-client.crt
/etc/kubernetes/pki/front-proxy-client.key

etcd 集群根证书

/etc/kubernetes/pki/etcd/ca.crt
/etc/kubernetes/pki/etcd/ca.key
由此根证书签发机构签发的证书有:
  • 1,etcd server 持有的服务端证书
/etc/kubernetes/pki/etcd/server.crt
/etc/kubernetes/pki/etcd/server.key
  • 2,peer 集群中节点互相通信使用的客户端证书
/etc/kubernetes/pki/etcd/peer.crt
/etc/kubernetes/pki/etcd/peer.key
  • 3,pod 中定义 Liveness 探针使用的客户端证书
/etc/kubernetes/pki/etcd/healthcheck-client.crt
/etc/kubernetes/pki/etcd/healthcheck-client.key
  • 4,配置在 kube-apiserver 中用来与 etcd server 做双向认证的客户端证书
/etc/kubernetes/pki/apiserver-etcd-client.crt
/etc/kubernetes/pki/apiserver-etcd-client.key

Serveice Account秘钥

这组的密钥对儿仅提供给 kube-controller-manager 使用. kube-controller-manager 通过 sa.key 对 token 进行签名, master 节点通过公钥 sa.pub 进行签名的验证.
API Server的authenticating环节支持多种身份校验方式:client cert、bearer token、static password auth等,这些方式中有一种方式通过authenticating(Kubernetes API Server会逐个方式尝试),那么身份校验就会通过。一旦API Server发现client发起的request使用的是service account token的方式,API Server就会自动采用signed bearer token方式进行身份校验。而request就会使用携带的service account token参与验证。该token是API Server在创建service account时用API server启动参数:–service-account-key-file的值签署(sign)生成的。如果–service-account-key-file未传入任何值,那么将默认使用–tls-private-key-file的值,即API Server的私钥(server.key)。
通过authenticating后,API Server将根据Pod username所在的group:system:serviceaccounts和system:serviceaccounts:(NAMESPACE)的权限对其进行authority 和admission control两个环节的处理。在这两个环节中,cluster管理员可以对service account的权限进行细化设置。
/etc/kubernetes/pki/sa.key
/etc/kubernetes/pki/sa.pub
kubeadm 创建的集群, kube-proxy ,flannel,coreDNS是以 pod 形式运行的, 在 pod 中, 直接使用 service account 与 kube-apiserver 进行认证, 此时就不需要再单独为 kube-proxy 创建证书

更新证书

生成集群配置的yaml文件

 kubeadm config view > /root/kubeadm.yaml
 
  • kubeadm.yaml
 apiServer:

   extraArgs:

     authorization-mode: Node,RBAC

   timeoutForControlPlane: 4m0s

 apiVersion: kubeadm.k8s.io/v1beta2

 certificatesDir: /etc/kubernetes/pki

 clusterName: kubernetes-test

 controlPlaneEndpoint: 10.8.28.200:6443

 controllerManager: {}

 dns:

   type: CoreDNS

 etcd:

   local:

     dataDir: /data/etcd

 imageRepository: k8s.gcr.io

 kind: ClusterConfiguration

 kubernetesVersion: v1.15.1

 networking:

   dnsDomain: cluster.local

   podSubnet: 192.168.0.0/16

   serviceSubnet: 10.96.0.0/12

 scheduler: {}

证书更新使用帮助

[root@k8s-test-master- ~]# kubeadm alpha certs renew --help

This command is not meant to be run on its own. See list of available subcommands.

Usage:

  kubeadm alpha certs renew [flags]

  kubeadm alpha certs renew [command]

Available Commands:

  admin.conf               Renew the certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself

  all                      Renew all available certificates

  apiserver                Renew the certificate for serving the Kubernetes API

  apiserver-etcd-client    Renew the certificate the apiserver uses to access etcd

  apiserver-kubelet-client Renew the certificate for the API server to connect to kubelet

  controller-manager.conf  Renew the certificate embedded in the kubeconfig file for the controller manager to use

  etcd-healthcheck-client  Renew the certificate for liveness probes to healtcheck etcd

  etcd-peer                Renew the certificate for etcd nodes to communicate with each other

  etcd-server              Renew the certificate for serving etcd

  front-proxy-client       Renew the certificate for the front proxy client

  scheduler.conf           Renew the certificate embedded in the kubeconfig file for the scheduler manager to use

更新证书操作

每个Master操作
kubeadm alpha certs renew all --config=/root/kubeadm.yaml

# (也可以逐个更新)

certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself renewed

certificate for serving the Kubernetes API renewed

certificate the apiserver uses to access etcd renewed

certificate for the API server to connect to kubelet renewed

certificate embedded in the kubeconfig file for the controller manager to use renewed

certificate for liveness probes to healtcheck etcd renewed

certificate for etcd nodes to communicate with each other renewed

certificate for serving etcd renewed

certificate for the front proxy client renewed

certificate embedded in the kubeconfig file for the scheduler manager to use renewed

# 再次查询证书期限

[root@k8s-test-master- ~]# kubeadm alpha certs check-expiration

CERTIFICATE                EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED

admin.conf                 Jul ,  : UTC   364d            no

apiserver                  Jul ,  : UTC   364d            no

apiserver-etcd-client      Jul ,  : UTC   364d            no

apiserver-kubelet-client   Jul ,  : UTC   364d            no

controller-manager.conf    Jul ,  : UTC   364d            no

etcd-healthcheck-client    Jul ,  : UTC   364d            no

etcd-peer                  Jul ,  : UTC   364d            no

etcd-server                Jul ,  : UTC   364d            no

front-proxy-client         Jul ,  : UTC   364d            no

scheduler.conf             Jul ,  : UTC   364d            no

# 在三台Master上执行重启kube-apiserver,kube-controller,kube-scheduler,etcd这4个容器,使证书生效

docker ps |grep -E 'k8s_kube-apiserver|k8s_kube-controller-manager|k8s_kube-scheduler|k8s_etcd_etcd' | awk -F ' ' '{print $1}' |xargs docker restart

kubeadm安装集群系列-4.证书更新的更多相关文章

  1. kubeadm安装集群系列(kubeadm 1.15.1)

    kubeadm已经进入GA阶段,所以尝试使用kubeadm从零开始安装高可用的Kubernetes集群,并记录下过程和所有坑 本文基于kubeadm 1.15.1 目录 kubeadm安装集群系列-1 ...

  2. kubeadm安装集群系列-2.Master高可用

    Master高可用安装 VIP负载均衡可以使用haproxy+keepalive实现,云上用户可以使用对应的ULB实现 准备kubeadm-init.yaml文件 apiVersion: kubead ...

  3. kubeadm安装集群系列-3.添加工作节点

    添加工作节点 worker通过kubeadm join加入集群,加入所需的集群的token默认24小时过期 查看Token kubeadm token list # 如果失效创建一个新的 kubead ...

  4. kubeadm安装集群系列-1.基础服务安装

    基础服务 本文基于centos7.5部署 规划 10.8.28.200 master-VIP 10.8.31.84 k8s-test-master-1 10.8.152.149 k8s-test-ma ...

  5. kubeadm安装集群系列-5.其他操作

    常用的一些操作记录 imagePullSecrets kubectl -n [namespace] create secret docker-registry regsecret --docker-s ...

  6. Kubeadm安装的K8S集群1年证书过期问题的解决思路

    这个问题,很多使用使用kubeadm的用户都会遇到. 网上也有类似的帖子,从源代码编译这种思路, 在生产环境,有些不现实. 还是使用kubeadm的命令操作,比较自然一点. 当然,自行生成一套证书,也 ...

  7. mycat数据库集群系列之数据库多实例安装

    mycat数据库集群系列之数据库多实例安装 最近在梳理数据库集群的相关操作,现在花点时间整理一下关于mysql数据库集群的操作总结,恰好你又在看这一块,供一份参考.本次系列终结大概包括以下内容:多数据 ...

  8. Kubernetes学习之路(八)之Kubeadm部署集群

    一.环境说明 节点名称 ip地址 部署说明 Pod 网段 Service网段 系统说明 k8s-master 192.168.56.11 docker.kubeadm.kubectl.kubelet ...

  9. Kubernetes 使用kubeadm创建集群

    镜像下载.域名解析.时间同步请点击 阿里巴巴开源镜像站 实践环境 CentOS-7-x86_64-DVD-1810 Docker 19.03.9 Kubernetes version: v1.20.5 ...

随机推荐

  1. Mapreduce案例之找共同好友

    数据准备: A:B,C,D,F,E,OB:A,C,E,KC:F,A,D,ID:A,E,F,LE:B,C,D,M,LF:A,B,C,D,E,O,MG:A,C,D,E,FH:A,C,D,E,OI:A,OJ ...

  2. elementUI 上传文件图片大小加了限制后 仍然上传了

    https://blog.csdn.net/chanlingmai5374/article/details/80558444  看了这位老哥的说法 在看看文档 才发现自己没认真看文档 <el-u ...

  3. 洛谷P4001 [BJOI2006]狼抓兔子(平面图转对偶图)

    传送门 明明只要最小割加点优化就能过的东西…… 然而我偏偏要去学平面图转对偶图结果发现课件关键地方看不清->这里 而且建图累的半死…… 说实话只要最大流建图的时候反向边直接设为当前边容量再加个当 ...

  4. 2018ccpc吉林 E:THE TOWER——数形结合

    题目 链接 给你一个圆锥(位于坐标原点,告诉你高h 和底面半径 r),和一个点(x,y,z)并告诉你这个点的速度, 让你求点和圆锥相撞的最小时间(保证一定相撞) 分析 易知,将直线的参数方程与圆锥曲面 ...

  5. 题解 [51nod1607] 卷积和

    题面 解析 神仙LZF随机找出的毒瘤题. 一开始读题过于草率导致\(naive\)了. step 1 看上去特别像数位DP(实际上也有一点). 先预处理出有\(i\)位的数(最高位不为\(0\))的数 ...

  6. python函数参数的传递、带星号参数的传递

    python中函数参数的传递是通过赋值来传递的.函数参数的使用又有俩个方面值得注意:1.函数参数是如何定义的 2.在调用函数的过程中参数是如何被解析 先看第一个问题,在python中函数参数的定义主要 ...

  7. [CTS2019]田野(80分)

    loj嘟嘟嘟 学完模拟退火后开始搞这道题,搞了一下午最终搞到了80分,剩下的实在不知道怎么办了-- 首先肯定是把有交点的线段划分到一个集合,然后对每一个集合求一遍凸包. 然后两两合并,如果新的凸包的周 ...

  8. 【线性代数】Linear Algebra Big Picture

    Abstract: 通过学习MIT 18.06课程,总结出的线性代数的知识点相互依赖关系,后续博客将会按照相应的依赖关系进行介绍.(2017-08-18 16:28:36) Keywords: Lin ...

  9. javascript数据结构之顺序表

    关于线性表的概念这里就不赘述了,可以自行百度和查阅资料,线性表按照存储(物理)结构分为顺序存储和链式存储,每种存储方式的不同决定了它的实现代码是不同的: 顺序存储的特点就是在内存中选一块连续的地址空间 ...

  10. 【零基础】简单说说一键果体APP的AI

    参考: https://www.jianshu.com/p/8c7a7cb7198c https://blog.csdn.net/gdymind/article/details/82696481 零. ...