2. 程式人生 > 其它 >kubeadm初始化k8s-延長證書過期時間

kubeadm初始化k8s-延長證書過期時間

阿新 發佈:2021-07-08

kubeadm初始化k8s-延長證書過期時間

一、檢視證書過期時間

# ca證書有效期是10年,從2021到2031年
[root@k8s-master1 ~]# openssl x509 -in /etc/kubernetes/pki/ca.crt -noout -text  |grep Not
            Not Before: Jul  8 02:55:00 2021 GMT
            Not After : Jul  6 02:55:00 2031 GMT

# apiserver證書有效期是1年,從2021到2022年
[root@k8s-master1 ~]# openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text  |grep Not
            Not Before: Jul  8 02:55:00 2021 GMT
            Not After : Jul  8 02:55:00 2022 GMT

二、延長證書過期時間

1)把update-kubeadm-cert.sh檔案上傳到k8s-master1、k8s-master2節點

指令碼下載地址:https://github.com/yuyicai/update-kube-cert

2)在每個節點都執行如下命令

# 1)給update-kubeadm-cert.sh證書授權可執行許可權
[root@k8s-master1 ~]# chmod +x update-kubeadm-cert.sh
[root@k8s-master2 ~]# chmod +x update-kubeadm-cert.sh

# 2)執行下面命令,修改證書過期時間,把時間延長到10年
[root@k8s-master1 ~]# ./update-kubeadm-cert.sh all
[root@k8s-master2 ~]# ./update-kubeadm-cert.sh all
[2021-07-08T11:45:19.707677552+0800]: INFO: backup /etc/kubernetes to /etc/kubernetes.old-20210708
Signature ok
subject=/CN=etcd-server
Getting CA Private Key
[2021-07-08T11:45:19.772840987+0800]: INFO: generated /etc/kubernetes/pki/etcd/server.crt
Signature ok
subject=/CN=etcd-peer
Getting CA Private Key
[2021-07-08T11:45:19.809399855+0800]: INFO: generated /etc/kubernetes/pki/etcd/peer.crt
Signature ok
subject=/O=system:masters/CN=kube-etcd-healthcheck-client
Getting CA Private Key
[2021-07-08T11:45:19.831445526+0800]: INFO: generated /etc/kubernetes/pki/etcd/healthcheck-client.crt
Signature ok
subject=/O=system:masters/CN=kube-apiserver-etcd-client
Getting CA Private Key
[2021-07-08T11:45:19.853244272+0800]: INFO: generated /etc/kubernetes/pki/apiserver-etcd-client.crt
2e55581300ad
[2021-07-08T11:45:20.247350515+0800]: INFO: restarted etcd
Signature ok
subject=/CN=kube-apiserver
Getting CA Private Key
[2021-07-08T11:45:20.282054309+0800]: INFO: generated /etc/kubernetes/pki/apiserver.crt
Signature ok
subject=/O=system:masters/CN=kube-apiserver-kubelet-client
Getting CA Private Key
[2021-07-08T11:45:20.307074813+0800]: INFO: generated /etc/kubernetes/pki/apiserver-kubelet-client.crt
Signature ok
subject=/CN=system:kube-controller-manager
Getting CA Private Key
[2021-07-08T11:45:20.349848678+0800]: INFO: generated /etc/kubernetes/controller-manager.crt
[2021-07-08T11:45:20.355202936+0800]: INFO: generated new /etc/kubernetes/controller-manager.conf
Signature ok
subject=/CN=system:kube-scheduler
Getting CA Private Key
[2021-07-08T11:45:20.401409577+0800]: INFO: generated /etc/kubernetes/scheduler.crt
[2021-07-08T11:45:20.407255673+0800]: INFO: generated new /etc/kubernetes/scheduler.conf
Signature ok
subject=/O=system:masters/CN=kubernetes-admin
Getting CA Private Key
[2021-07-08T11:45:20.453035542+0800]: INFO: generated /etc/kubernetes/admin.crt
[2021-07-08T11:45:20.463892109+0800]: INFO: generated new /etc/kubernetes/admin.conf
[2021-07-08T11:45:20.470917866+0800]: INFO: copy the admin.conf to ~/.kube/config for kubectl
[2021-07-08T11:45:20.473552470+0800]: WARNING: does not need to update kubelet.conf
Signature ok
subject=/CN=front-proxy-client
Getting CA Private Key
[2021-07-08T11:45:20.494001710+0800]: INFO: generated /etc/kubernetes/pki/front-proxy-client.crt
86a98ff73131
[2021-07-08T11:45:24.268973792+0800]: INFO: restarted kube-apiserver
7c01cab842fa
[2021-07-08T11:45:24.812039934+0800]: INFO: restarted kube-controller-manager
59ed847ae4eb
[2021-07-08T11:45:25.765110177+0800]: INFO: restarted kube-scheduler
[2021-07-08T11:45:25.875676379+0800]: INFO: restarted kubelet

# 3)在k8s-master1節點查詢Pod是否正常,能查詢出資料說明證書籤發完成
[root@k8s-master1 ~]# kubectl  get pods 
NAME       READY   STATUS    RESTARTS   AGE
demo-pod   1/1     Running   0          15m

3)檢視證書的有效期

# 檢視apiserver證書
[root@k8s-master1 ~]# openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text  |grep Not
            Not Before: Jul  8 03:45:17 2021 GMT
            Not After : Jul  6 03:45:17 2031 GMT

# 檢視etcd證書
[root@k8s-master1 ~]# openssl x509 -in /etc/kubernetes/pki/apiserver-etcd-client.crt  -noout -text  |grep Not
            Not Before: Jul  8 03:45:16 2021 GMT
            Not After : Jul  6 03:45:16 2031 GMT
            
# 檢視fron-proxy證書
[root@k8s-master1 ~]# openssl x509 -in /etc/kubernetes/pki/front-proxy-ca.crt  -noout -text  |grep Not
            Not Before: Jul  8 02:55:00 2021 GMT
            Not After : Jul  6 02:55:00 2031 GMT
作者:Lawrence 出處:http://www.cnblogs.com/hujinzhong/

-------------------------------------------

個性簽名:獨學而無友,則孤陋而寡聞。做一個靈魂有趣的人!

掃描上面二維碼關注我 如果你真心覺得文章寫得不錯,而且對你有所幫助,那就不妨幫忙“推薦"一下,您的“推薦”和”打賞“將是我最大的寫作動力! 本文版權歸作者所有,歡迎轉載,但未經作者同意必須保留此段宣告,且在文章頁面明顯位置給出原文連線.

相關推薦

kubeadm初始k8s-延長證書過期時間

kubeadm初始k8s-延長證書過期時間 一、檢視證書過期時間 # ca證書有效期是10年,從2021到2031年

kubeadm初始k8s-刪除控制節點-重新把控制節點加入叢集步驟

kubeadm初始k8s-刪除控制節點-重新把控制節點加入叢集步驟 # 1、把k8s-master2的資訊從etcd刪除:

關於《通過rancher部署的k8s叢集如何檢視和更新叢集證書過期時間?》問題的解答

《通過rancher部署的k8s叢集如何檢視和更新叢集證書過期時間?》是我6月底在部落格園提出的懸賞問題。現在問題搞清楚了,在此做個簡單記錄,希望能幫到有需要的博友。

kubeadm初始報錯】failed to run Kubelet: misconfiguration: kubelet cgroup driver: "cgroupfs" is different from docker cgroup driver: "systemd"

復現場景 環境 系統:Centos7 kubernetes:1.18.5 docker:19.03.9 復現步驟 1、通過 yum 或 rpm 安裝 kubelet kubectl kubeadm,並 systemctl enable --now kubelet

rancher初始k8s由於主機名不規範導致異常

概述 部署rancher/rancher 通過rancher-ui初始k8s 日誌 rancher-agent //logs INFO: Arguments: --server https://172.16.1.69 --token REDACTED --ca-checksum 5e5f7cbe78a0a34e3df0c31c6b2c9bc2421e1f11469f4

grafana 7 監控https證書過期時間

某個 https 證書突然過期,導致某個業務出現問題。理論上來說這個問題不應該存在,證書到期時間是固定的,更新也不費時間,但這個問題還是存在。

kubeadm初始叢集

kubeadmin初始叢集 由於無法拉取google倉庫的映象,因此使用dockerhub上的映象 docker pull k8simage/kube-apiserver:v1.22.2

監控域名,證書過期時間

#!bin/bash date_Now=$(date +%Y%m%d) set -e set -x # 這裡定義傳送的訊息艾特多個人, atMobiles=xxxxxxxx

監控域名證書過期時間並通過微信報警

Zabbix監控域名證書過期時間並通過微信報警 zabbix客戶端操作 這裡操作的前提是已經安裝完zabbix客戶端和服務端

Python指令碼批量檢查SSL證書過期時間

背景 雲平臺https的域名伺服器如果超過上百條,如果都分佈在不同的伺服器或者負載均衡上,如果即將過期, 做完替換SSL證書動作後,如何批量檢查域名的SSL證書是否替換網站,可通過如下指令碼實現。

kubeadm k8s初始日誌

[root@k8s-master01 ~]# kubeadm init \\ > --kubernetes-version=v1.23.5 \\ > --pod-network-cidr=10.244.0.0/16 \\

k8s部署之系統初始(一)

初始 1.安裝依賴包 yum -y install tree lrzsz nmap nc telnet vim wget lsof network-tools bash-completion bash-completion-extras net-toolsepel-releasecreaterepoconntrack ntpdate ntp ipvsadm ipset jq i

docker/k8s系統初始指令碼

#!/bin/bash #Auther jia.yu #version v1.0 SELINUX_state=`getenforce` FIREWALL_state=`systemctl status firewalld | awk \'NR==3 {print $2}\'`

Kubernetes K8S之Pod 生命週期與init container初始容器詳解

K8S中Pod的生命週期與init container初始容器詳解 主機配置規劃 伺服器名稱(hostname)系統版本配置內網IP外網IP(模擬)

K8S從入門到放棄系列-(1)環境初始

一、系統規劃 主機名 IP 元件 k8s-master01 192.168.1.225 etcd、kube-apiserver、kube-controller-manager、kube-scheduler

如何處理 Kubeadm 搭建的叢集證書過期問題

Kubeadm 證書過期處理 以下內容參考瞭如下連結:https://www.cnblogs.com/skymyyang/p/11093686.html

【原】kubeadm 安裝高可用叢集初始檔案模板

ansible k8s -m shell -a \"yum installkubelet-1.19.4 kubeadm-1.19.4 kubectl-1.19.4 -y\" 1. 生成檔案

模組上電須注意初始時間

技術標籤:javaandroid 加粗樣式@模組上電須注意初始化時間 最近我公司的一個專案(andriod),在除錯導航模組(整合GPS,北斗等)出現不能切換導航模式的情況。具體情況是這樣的:導航模組在手機開機後就一直開

java springboot呼叫海康SDK(初始、獲取通道列表,獲取檔案列表,根據檔案下載檔案,根據時間下載檔案,用ffmpeg轉封裝ps流錄影檔案)

我都是貼的程式碼,很長,可以私信我要spring boot工程 1.首先要從海康的官網上下載最新的SDK到本地(我的是win7_64)

K8s任務】配置 Pod 初始

參考:https://kubernetes.io/zh/docs/tasks/configure-pod-container/configure-pod-initialization/ 建立一個包含 Init 容器的 Pod