2. 程式人生 > 其它 >kubeadm renew更新證書後,master依舊過期

kubeadm renew更新證書後,master依舊過期

阿新 發佈:2021-07-22

背景

kubernetes: 1.16.3

master: 3臺

採用kubeadm部署,在證書還有30天以上時,使用kubeadm alpha certs renew all更新所有證書,以為萬無一失,但是到原有的證書過期時間,發現API異常告警。

問題

api-server日誌:

E0721 08:09:28.129981       1 available_controller.go:416] v1beta1.custom.metrics.k8s.io failed with: failing or missing response from https://10.244.69.146:6443/apis/custom.metrics.k8s.io/v1beta1: bad status from https://10.244.69.146:6443/apis/custom.metrics.k8s.io/v1beta1: 401
E0721 08:09:28.133091       1 available_controller.go:416] v1beta1.custom.metrics.k8s.io failed with: failing or missing response from https://10.244.69.146:6443/apis/custom.metrics.k8s.io/v1beta1: bad status from https://10.244.69.146:6443/apis/custom.metrics.k8s.io/v1beta1: 401
E0721 08:09:28.133460       1 available_controller.go:416] v1beta1.metrics.k8s.io failed with: failing or missing response from https://10.244.8.165:4443/apis/metrics.k8s.io/v1beta1: bad status from https://10.244.8.165:4443/apis/metrics.k8s.io/v1beta1: 401
E0721 08:09:28.135093       1 available_controller.go:416] v1beta1.metrics.k8s.io failed with: failing or missing response from https://10.244.8.165:4443/apis/metrics.k8s.io/v1beta1: bad status from https://10.244.8.165:4443/apis/metrics.k8s.io/v1beta1: 401
E0721 08:09:28.139986       1 available_controller.go:416] v1beta1.custom.metrics.k8s.io failed with: failing or missing response from https://10.244.69.146:6443/apis/custom.metrics.k8s.io/v1beta1: bad status from https://10.244.69.146:6443/apis/custom.metrics.k8s.io/v1beta1: 401
E0721 08:09:28.141188       1 available_controller.go:416] v1beta1.custom.metrics.k8s.io failed with: failing or missing response from https://10.244.69.146:6443/apis/custom.metrics.k8s.io/v1beta1: bad status from https://10.244.69.146:6443/apis/custom.metrics.k8s.io/v1beta1: 401
E0721 08:09:28.143084       1 available_controller.go:416] v1beta1.metrics.k8s.io failed with: failing or missing response from https://10.244.8.165:4443/apis/metrics.k8s.io/v1beta1: bad status from https://10.244.8.165:4443/apis/metrics.k8s.io/v1beta1: 401

解決思路

1.kubectl無法使用,顯示證書過期或者失效,隨即

$ kubectl get node
Unable to connect to the server: x509: certificate has expired or is not yet valid

2.隨即將/etc/kubernetes/admin.conf複製~/.kube/conf,執行命令後,還是返回步驟1的錯誤,隨即意識到是api-server的問題。

3.檢查pki木塊下的所有證書過期時間

$ for i in $(ls *.crt); do echo "===== $i ====="; openssl x509 -in $i -text -noout | grep -A 3 'Validity' ; done
===== apiserver.crt =====
        Validity
            Not Before: Jul 21 08:08:33 2020 GMT
            Not After : Apr 14 05:58:54 2022 GMT
        Subject: CN=kube-apiserver
===== apiserver-kubelet-client.crt =====
        Validity
            Not Before: Jul 21 08:08:33 2020 GMT
            Not After : Apr 14 06:00:03 2022 GMT
        Subject: O=system:masters, CN=kube-apiserver-kubelet-client
===== ca.crt =====
        Validity
            Not Before: Jul 21 08:08:33 2020 GMT
            Not After : Jul 19 08:08:33 2030 GMT
        Subject: CN=kubernetes
===== front-proxy-ca.crt =====
        Validity
            Not Before: Jul 21 08:08:34 2020 GMT
            Not After : Jul 19 08:08:34 2030 GMT
        Subject: CN=front-proxy-ca
===== front-proxy-client.crt =====
        Validity
            Not Before: Jul 21 08:08:34 2020 GMT
            Not After : Apr 14 06:00:40 2022 GMT
        Subject: CN=front-proxy-client

4.pki下證書檢測均沒有過期,問題就很明顯,出在正在執行的container上,重啟kubelet無法解決問題

5.重啟kulet並不會重建container

systemctl stop kubelet
docker ps -q | xargs docker stop
df -Th | grep "docker" | awk '{print $NF}' | xargs umount
df -Th | grep "kubelet" | awk '{print $NF}' | xargs umount
docker ps -a -q | xargs docker rm
systemctl restart kubelet

6.重啟後,發現除了主控制節點(kubeadm init的第一臺伺服器),其餘master節點都恢復正常

7.檢視報錯資訊,主控制節點上的kubelet無法啟動

Jul 21 17:53:03 master001 kubelet[23047]: E0721 17:53:03.545713   23047 bootstrap.go:250] unable to load TLS configuration from existing bootstrap client config: tls: private key does not match public key
Jul 21 17:53:03 master001 kubelet[23047]: F0721 17:53:03.545749   23047 server.go:271] failed to run Kubelet: unable to load bootstrap kubeconfig: stat /etc/kubernetes/bootstrap-kubelet.conf: no such file or directory

8.對比其他叢集,發現均沒有/etc/kubernetes/bootstrap-kubelet.conf檔案

9.隨即針對kubelet進行檢查

$ cat /usr/lib/systemd/system/kubelet.service.d/10-kubeadm.conf
# Note: This dropin only works with kubeadm and kubelet v1.11+
[Service]
Environment="KUBELET_KUBECONFIG_ARGS=--bootstrap-kubeconfig=/etc/kubernetes/bootstrap-kubelet.conf --kubeconfig=/etc/kubernetes/kubelet.conf"

kubelet在啟動時,會優先讀取kubelet.conf,當kubeleyt不可用時,才讀取bootstrap-kubelet.conf

10.對比住控制節點上的kubelet.conf發現
主控制節點

users:
- name: system:node:master001
  user:
    client-certificate-data: *****
    client-key-data: *****

***** 為hash值
其他主控節點

users:
- name: default-auth
  user:
    client-certificate: /var/lib/kubelet/pki/kubelet-client-current.pem
    client-key: /var/lib/kubelet/pki/kubelet-client-current.pem

可以看到直接讀取的檔案,在首個master節點初始化叢集時,kubelet還沒加入叢集,也就沒法生成這個檔案,所以直接用的hash值,我們只需要手動更改即可。

11.重啟首臺master,叢集全部恢復正常

總結

1.kubeadm renew在更新證書後,api-server,controller,schedule並不會過載證書檔案,需要重建container。
2.主控制節點的kubelet.conf中使用的hash值,並不是檔案,而且kubeadm renew也不會更新這個檔案,所以需要手動操作。

每天學習一點點,重在積累!

相關推薦

kubeadm renew更新書後master依舊過期

背景 kubernetes: 1.16.3 master: 3臺 採用kubeadm部署在證書還有30天以上時使用kubeadm alpha certs renew all更新所有證書以為萬無一失但是到原有的證書過期時間發現API異常告警。

安裝ssl書後其子域名也能https加密了嗎

在對網際網路安全知識瞭解日益增加之後很多朋友會開始想要知道應該通過何種方式保證自己的網路安全安裝防火牆、下載防毒軟體這些操作固然可以對個人電腦使用者進行安全防護但對於網際網路企業來說卻遠遠不夠

firewalld攔截導致安裝ssl書後https無法訪問

系統:輕量伺服器 ubuntu20.4 錯誤情況:使用bt面板新增ssl書後瀏覽器通過https協議訪問超時或無法連線http正常。

windows10的自動更新徹底關閉試試就知道

前言用過win10的同學都知道系統頻繁的更新是常事不知道大家是否和我一樣更新一段時間筆記本巨巨巨卡呢?雖然是windows的更新是好事系統的漏洞打了新的補丁讓系統更安全但是仍然有同學不喜歡頻繁的更新

C# WebApi debug模式下編譯沒有問題切換到release模式下編譯就有異常但是依舊能生成成功再切回到debug模式也會報錯也可以生成成功

C# WebApi debug模式下編譯沒有問題切換到release模式下編譯就有異常但是依舊能生成成功再切回到debug模式也會報錯也可以生成成功

kubeadm部署1.18.0單master叢集

1、有了docker為什麼還用kubernetes? 訪問工具層 幫助使用者更高效的完成任務包括web控制檯、RESTfulAPI、CI/CD、監控管理、日誌管理

全員 5G!蘋果 iPhone 12 系列沒有閹割售價依舊 5499 元起

北京時間 10 月 14 日凌晨 1 點蘋果秋季的第二場釋出會又來了!與上個月的釋出會一樣,依舊是採用線上的方式整場釋出會只有 1 個小時帶來的產品除了萬眾期待的 iPhone 12 系列就是 HomePod mini 了。

CocosCreator遊戲熱更新完整教程超簡單超詳細

使用cocos已經是第7個年頭了也算是老司機了今天就介紹下使用cocos creator開發遊戲如何熱更新

IDEA 外掛的Translation :更新TTK失敗請檢查網路連線的解決辦法

目錄 問題解決方案1.Translation配置2.IDEA HTTP聯網配置問題3.成功解決 問題 今天IDEA的Translation外掛一直提示“更新TTK失敗請檢查網路連線” 請檢查網路連線”以及“Copy to Clipboard 如下圖

Mysqlversion~沒變~就是更新不成功別慌!

技術標籤:DBjavamysql 一個忙(mo)碌(yu)的下午小航同學突然大罵一聲“TM 見鬼了version沒變更新就是不成功”。

當執行xconfmanager更新配置後重啟windchill出現[LDAP: error code 49 - 80090308: LdapErr: DSID-0C09041C, comment: AcceptSecurityContext error, data 52e, v4563 ]

場景: windchill部署程式碼執行xconfmanager更新配置後windchill起不來了檢視LOG日誌出現 [LDAP: error code 49 - 80090308: LdapErr: DSID-0C09041C, comment: AcceptSecurityContext error, data 52e, v456

mysql鎖如何釋放_更新庫存時你是如何用mysql鎖解決高併發問題的

技術標籤:mysql鎖如何釋放 利用Mysql的鎖來解決高併發的問題先看沒有利用事務的時候併發的後果

Vue 子元件向父元件傳遞資料父元件更新資料後子元件模板第一次更新之後不再更新 問題解決方案

技術標籤:vue 如題 需求: 將input 限制在 1-99 之間 子元件向父元件傳送資料 //子元件文字框

uniapp檢查app更新並下載監聽下載進度

技術標籤:uni-app 檢查的方法是放在app.vue裡面的 <script> import { hostCharge } from "util/httpUrl.js"

騰訊 QQ 更新圖示 Logo 企鵝有了牛角

1月18日訊息近期手機 QQ iOS 和安卓版迎來了 8.5.5 更新不少網友發現騰訊QQ更新了圖示 Logo 企鵝有了牛角。

國行三星 Galaxy A8s 更新現 bug新版本可導致手機自動重啟

1 月 23 日訊息三星 Galaxy A8s 是三星公司於 2018 年 12 月 10 日釋出的一款中端智慧手機是三星旗下首款黑瞳全視屏手機同樣也是全球首款屏內挖孔全面屏手機。

網易《我的世界》下界更新今日上線同步推出 《三國 · 赤壁》玩法

1 月 28 日訊息 根據網易《我的世界》官方的訊息下界更新今日正式上線增加形態各樣的巨型蘑菇、種類齊全的合金巖塊以及更多新奇方塊。

微軟 Win10 推送緊急更新補丁 KB5001028 修復藍屏宕機 Bug

2月12日訊息外媒 Windows Latest 報道正如之前所報道的那樣Windows 10 電腦已經被微軟 1 月和 2 月的一輪補丁嚴重干擾。這一次微軟承認了這些報道並且已經開始推出 “緊急”更新來解決這個錯誤。

塗鴉智慧更新招股書IPO 預計募集達 10 億美元

美東時間 3 月 12 日全球 IoT 雲平臺塗鴉智慧向美國證券交易委員會(SEC)提交了更新後的紅鯡魚招股書計劃以 “TUYA”為證券程式碼在紐交所掛牌上市。塗鴉智慧本次 IPO 發行價格區間為每份美國存托股票(ADS)17

Epic 遊戲商城 3 月更新預覽未來將強化社交功能

3 月 18 日訊息 今天 Epic 官方宣佈本月 Epic 遊戲商城將進行一系列更新同時列出了將要更新的功能並表示未來會為 Epic 遊戲商城強化社交功能。