2. 程式人生 > 其它 >11.證書可用時間修改

11.證書可用時間修改

阿新 發佈:2021-08-01

k8s所有用到的證書

/etc/kubernetes/pki
[root@k8s-master01 pki]# ls
apiserver.crt                 apiserver-kubelet-client.key  front-proxy-ca.key
apiserver-etcd-client.crt     ca.crt                        front-proxy-client.crt
apiserver-etcd-client.key     ca.key                        front-proxy-client.key
apiserver.key                 etcd                          sa.key
apiserver-kubelet-client.crt  front-proxy-ca.crt            sa.pub

#檢視證書的資訊
openssl x509 -in apiserver.crt -text -noout

#檢視證書的期限
kubeadm alpha certs check-expiration


#生成配置檔案
kubeadm config view > /tmp/kubeadm-config.yaml

一、自動續簽

kubeadm alpha certs renew all

將上面加入自動計劃任務 * * * * *

0 0 1 */3 * kubeadm alpha certs renew all

格式:
  * * * * * 
分別對應表示: 分鐘(0-59) 小時(0-23) 日(1-31) 月份(1-12) 星期(0-6)

星號(*):代表所有可能的值,例如month欄位如果是星號,則表示在滿足其它欄位的制約條件後每月都執行該命令操作。
逗號(,):可以用逗號隔開的值指定一個列表範圍,例如,“1,2,5,7,8,9”
中槓(-):可以用整數之間的中槓表示一個整數範圍,例如“2-6”表示“2,3,4,5,6”
正斜線(/):可以用正斜線指定時間的間隔頻率,例如“0-23/2”表示每兩小時執行一次。
同時正斜線可以和星號一起使用,
例如*/5,第一個位置就是每隔5秒,如果用在minute欄位,表示每多少分鐘。

每五分鐘執行 */5 * * * *
每小時執行 0 * * * *
每天執行 0 0 * * *
每週執行 0 0 * * 0
每月執行 0 0 1 * *
每年執行 0 0 1 1 *

-e : 執行文字編輯器來設定時程表,內定的文字編輯器是 VI,如果你想用別的文字編輯器,
			則請先設定 VISUAL 環境變數來指定使用那個文字編輯器(比如說 setenv VISUAL joe)
-r : 刪除目前的時程表
-l : 列出目前的時程表

二、手動續簽

1、go環境部署

wget https://dl.google.com/go/go1.12.7.linux-amd64.tar.gz
tar -zxvf go1.12.7.linux-amd64.tar.gz -C /usr/local/

vim /etc/profile
export PATH=$PATH:/usr/local/go/bin
source /etc/profile

2、下載原始碼

cd /data && git clone https://github.com/kubernetes/kubernetes.git
#國內
git clone https://gitee.com/RaYong8080/kubernetes.git
cd kubernetes/
git checkout -b remotes/origin/release-1.15.1 v1.15.1

3、修改kubeadm原始碼包更新證書策略

vim staging/src/k8s.io/client-go/util/cert/cert.go  # kubeadm 1.14 版本之前
vim cmd/kubeadm/app/util/pkiutil/pki_helpers.go # kubeadm 1.14 至今
# 在func NewSignedCert方法下面 定義一個常量 duration365d 
const duration365d = time.Hour * 24 * 365 * 10 # 這裡改為10年
#  NotAfter:     time.Now().Add(kubeadmconstants.CertificateValidity).UTC(), 將更改為下面內容
NotAfter:     time.Now().Add(duration365d).UTC(),

make WHAT=cmd/kubeadm GOFLAGS=-v
編譯後的kubeadm 放在_output檔案的bin下

4、更新kubeadm

cp /usr/bin/kubeadm /usr/bin/kubeadm.old
cp _output/bin/kubeadm /usr/bin/kubeadm
chmod a+x /usr/bin/kubeadm

5、更新各節點證書至Master節點

cp -r /etc/kubernetes/pki /etc/kubernetes/pki.old
cd /etc/kubernetes/pki
kubeadm alpha certs renew all --config=/root/kubeadm-config.yaml
openssl x509 -in apiserver.crt -text -noout | grep Not

更新kubectl 客戶端證書

cp -a /etc/kubernetes /root/.kube/config

授權config許可權
chown $(id -un):$(id -un) /root/.kube/config

6、HA叢集其餘mater節點證書更新

scp /etc/kubernetes/pki/{ca.crt,ca.key,sa.key,sa.pub,\
front-proxy-ca.crt,front-proxy-ca.key} \@192.168.66.111:/etc/kubernetes/pki/

scp /etc/kubernetes/pki/etcd/{ca.crt,ca.key} @192.168.66.112:/etc/kubernetes/pki/etcd/

scp /usr/bin/kubeadm @192.168.66.111:/usr/bin/kubeadm

#!/bin/bash

masterNode="192.168.66.111 192.168.66.112"
#for host in ${masterNode}; do
#    scp /etc/kubernetes/pki/{ca.crt,ca.key,sa.key,sa.pub,front-proxy-ca.crt,
front-proxy-ca.key}"${USER}"@$host:/etc/kubernetes/pki/
#    scp /etc/kubernetes/pki/etcd/{ca.crt,ca.key} "root"@$host:/etc/kubernetes/pki/etcd
#    scp /etc/kubernetes/admin.conf "root"@$host:/etc/kubernetes/
#done
for host in ${CONTROL_PLANE_IPS}; do
		scp /etc/kubernetes/pki/{ca.crt,ca.key,sa.key,sa.pub,front-proxy-ca.crt,front-proxy-ca.key}"${USER}"@$host:/root/pki/
		scp /etc/kubernetes/pki/etcd/{ca.crt,ca.key} "root"@$host:/root/etcd/
		scp /etc/kubernetes/admin.conf "root"@$host:/root/kubernetes/
done

7、驗證證書

檢視證書的資訊
openssl x509 -in apiserver.crt -text -noout

#檢視證書的期限
kubeadm alpha certs check-expiration

完成後重啟 kube-apiserver、kube-controller、kube-scheduler、etcd

docker ps | grep -E 'k8s_kube-apiserver|k8s_etcd_etcd|k8s_kube-scheduler|k8s_kube-controller' | \
awk -F ' ' '{print $1}' | xargs docker restart

相關推薦

11.證書可用時間修改

k8s所有用到的證書 /etc/kubernetes/pki [root@k8s-master01 pki]# ls apiserver.crtapiserver-kubelet-client.keyfront-proxy-ca.key

二十五、kubeamd安裝方式的證書時間修改

技術標籤:k8skubernetes 如果更新k8s版本會預設更新證書 檢查證書有效期(一部分10年一部分1年) openssl x509 -in apiserver.crt -text -noout

C++11中的時間庫std::chrono(引發關於時間的思考)

前言 時間是寶貴的,我們無時無刻不在和時間打交道,這個任務明天下班前截止,你點的外賣還有5分鐘才能送到,那個程式已經運行了整整48個小時,既然時間和我們聯絡這麼緊密,我們總要定義一些術語來描述它,像前面說

grafana 7 監控https證書過期時間

某個 https 證書突然過期,導致某個業務出現問題。理論上來說這個問題不應該存在,證書到期時間是固定的,更新也不費時間,但這個問題還是存在。

day 11 高階函式作業(修改)

技術標籤:python作業python day 11 高階函式作業(修改) # 1.為函式寫一個裝飾器,在函式執行之後輸出 after

# 2021-01-11 #「Linux」- 修改滑鼠滾輪的滾動方向

我們要實現什麼功能? 就是……像在OS X Lion中一樣,滑鼠滾輪滾動的方向就是頁面移動的方向(模仿智慧手機或平板電腦滾動)。

python自動化指令碼檢測web服務證書到期時間-釘釘提前通知

技術標籤:python學習python 1.專案背景 服務證書到期需要更新,但如果更新滯後,會導致服務停用,所以需要監測證書的到期時間,提前幾天通知相關同事及時更新證書,廢話不說,直接上程式碼

11.2.6 時間值的小數秒

技術標籤:# MySQL 8.0 參考手冊mysql 官方文件地址:11.2.6 Fractional Seconds in Time Values

華為 MatePad 11 開售時間爆料:6 月 14 日,搭載鴻蒙 HarmonyOS,售價 399 歐元起

6 月 9 日訊息華為此前預熱了 MatePad 11 平板電腦,但沒有公佈任何資訊。網友此前爆料,該機已出現在了德國官網上,雖然沒有透露太多具體資訊,但可以看到該機僅有 WiFi 版本及其售價。

kubeadm初始化k8s-延長證書過期時間

kubeadm初始化k8s-延長證書過期時間 一、檢視證書過期時間 # ca證書有效期是10年,從2021到2031年

關於《通過rancher部署的k8s叢集如何檢視和更新叢集證書過期時間?》問題的解答

《通過rancher部署的k8s叢集如何檢視和更新叢集證書過期時間?》是我6月底在部落格園提出的懸賞問題。現在問題搞清楚了,在此做個簡單記錄,希望能幫到有需要的博友。

三星 Bixby 現已上架 Microsoft Store 微軟商店,所有 Win10/11 PC 可用

10 月 6 日訊息 微軟昨日推出了全新的 Windows 11 正式版,帶來了全新的 Microsoft Store。作為微軟為 Windows“你的手機”欽定的合作伙伴,三星已將其 Bixby 應用釋出到 Microsoft Store 中。不同尋常的是,該 App

監控ssl證書到期時間

[root@iZbp1a16m3y5y71tdh7isyZ config]# cat prometheus.yml ···· - job_name: \'blackbox_http_2xx\' scrape_interval: 30s

docker 容器內部時間修改

修改某一程序呼叫的系統時間 對於容器內部來講,修改容器內部時間是沒有許可權的,網上其他教程修改容器內時間會同宿主機時間修改

ssl證書到期時間

目錄一.server端操作二.web端操作建立監控項建立觸發器三.指令碼內容 一.server端操作

C#介面訪問超時時間修改

1.資料庫連線字串中新增對資料庫的訪問時間Connect Timeout=500 單位秒。預設30秒

Docker 容器時間修改成東八區

☀ 使用資料庫或者開發的過程中經常會用到系統時間,容器可能與主機並不一致,記錄一下兩種常用的解決方法。

監控域名,證書過期時間

#!bin/bash date_Now=$(date +%Y%m%d) set -e set -x # 這裡定義傳送的訊息艾特多個人, atMobiles=xxxxxxxx

監控域名證書過期時間並通過微信報警

Zabbix監控域名證書過期時間並通過微信報警 zabbix客戶端操作 這裡操作的前提是已經安裝完zabbix客戶端和服務端

Python指令碼批量檢查SSL證書過期時間

背景 雲平臺https的域名伺服器如果超過上百條,如果都分佈在不同的伺服器或者負載均衡上,如果即將過期, 做完替換SSL證書動作後,如何批量檢查域名的SSL證書是否替換網站,可通過如下指令碼實現。