2. 程式人生 > 實用技巧 >kubeadm修改證書時間

kubeadm修改證書時間

阿新 發佈:2020-07-27

(1)、檢視當前的證書時間

# kubeadm alpha certs check-expiration
[check-expiration] Reading configuration from the cluster...
[check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml'

CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
admin.conf                 Jul 22, 2021 14:59 UTC   360d                                    no      
apiserver                  Jul 22, 2021 14:59 UTC   360d            ca                      no      
apiserver-etcd-client      Jul 22, 2021 14:59 UTC   360d            etcd-ca                 no      
apiserver-kubelet-client   Jul 22, 2021 14:59 UTC   360d            ca                      no      
controller-manager.conf    Jul 22, 2021 14:59 UTC   360d                                    no      
etcd-healthcheck-client    Jul 22, 2021 14:59 UTC   360d            etcd-ca                 no      
etcd-peer                  Jul 22, 2021 14:59 UTC   360d            etcd-ca                 no      
etcd-server                Jul 22, 2021 14:59 UTC   360d            etcd-ca                 no      
front-proxy-client         Jul 22, 2021 14:59 UTC   360d            front-proxy-ca          no      
scheduler.conf             Jul 22, 2021 14:59 UTC   360d                                    no      

CERTIFICATE AUTHORITY   EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
ca                      Jul 20, 2030 14:59 UTC   9y              no      
etcd-ca                 Jul 20, 2030 14:59 UTC   9y              no      
front-proxy-ca          Jul 20, 2030 14:59 UTC   9y              no

(2)、下載原始碼

git clone https://github.com/kubernetes/kubernetes.git

(3)、切換到自己的版本,修改原始碼,比如我的是v1.17.2版本

cd kubernetes
git checkout v1.17.2

vim cmd/kubeadm/app/constants/constants.go,找到CertificateValidity,修改如下

....
const (
        // KubernetesDir is the directory Kubernetes owns for storing various configuration files
        KubernetesDir = "/etc/kubernetes"
        // ManifestsSubDirName defines directory name to store manifests
        ManifestsSubDirName = "manifests"
        // TempDirForKubeadm defines temporary directory for kubeadm
        // should be joined with KubernetesDir.
        TempDirForKubeadm = "tmp"

        // CertificateValidity defines the validity for all the signed certificates generated by kubeadm
        CertificateValidity = time.Hour * 24 * 365 * 100
....

(4)、編譯kubeadm

make WHAT=cmd/kubeadm

編譯完生成如下目錄和二進位制檔案

# ll _output/bin/
total 76172
-rwxr-xr-x 1 root root  6799360 Jun 20 21:08 conversion-gen
-rwxr-xr-x 1 root root  6778880 Jun 20 21:08 deepcopy-gen
-rwxr-xr-x 1 root root  6750208 Jun 20 21:08 defaulter-gen
-rwxr-xr-x 1 root root  4883629 Jun 20 21:08 go2make
-rwxr-xr-x 1 root root  2109440 Jun 20 21:09 go-bindata
-rwxr-xr-x 1 root root 39256064 Jun 20 21:11 kubeadm
-rwxr-xr-x 1 root root 11419648 Jun 20 21:09 openapi-gen

(5)、備份原kubeadm和證書檔案

cp /usr/bin/kubeadm{,.bak20200620}
cp -r /etc/kubernetes/pki{,.bak20200620}

(6)、將新生成的kubeadm進行替換

cp _output/bin/kubeadm /usr/bin/kubeadm

(7)、生成新的證書

cd /etc/kubernetes/pki
kubeadm alpha certs renew all

輸出如下

[renew] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml'

certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself renewed
certificate for serving the Kubernetes API renewed
certificate the apiserver uses to access etcd renewed
certificate for the API server to connect to kubelet renewed
certificate embedded in the kubeconfig file for the controller manager to use renewed
certificate for liveness probes to healthcheck etcd renewed
certificate for etcd nodes to communicate with each other renewed
certificate for serving etcd renewed
certificate for the front proxy client renewed
certificate embedded in the kubeconfig file for the scheduler manager to use renewed

(8)、驗證結果

kubeadm alpha certs check-expiration

CERTIFICATEEXPIRESRESIDUALTIMECERTIFICATEAUTHORITYEXTERNALLYMANAGED
admin.confMay27,212013:25UTC99yno
apiserverMay27,212013:25UTC99ycano
apiserver-etcd-clientMay27,212013:25UTC99yetcd-cano
apiserver-kubelet-clientMay27,212013:25UTC99ycano
controller-manager.confMay27,212013:25UTC99yno
etcd-healthcheck-clientMay27,212013:25UTC99yetcd-cano
etcd-peerMay27,212013:25UTC99yetcd-cano
etcd-serverMay27,212013:25UTC99yetcd-cano
front-proxy-clientMay27,212013:25UTC99yfront-proxy-cano
scheduler.confMay27,212013:25UTC99yno

CERTIFICATEAUTHORITYEXPIRESRESIDUALTIMEEXTERNALLYMANAGED
caJun18,203011:21UTC9yno
etcd-caJun18,203011:21UTC9yno
front-proxy-caJun18,203011:21UTC9yno

如果github上下載很慢的話可以到gitee上下載,地址:https://gitee.com/mirrors/Kubernetes/tree/master/

   
 
 
 

             
          

            
  

           

               
              
             

            

            

            
相關推薦

			   
            
            
            
 

    


    
    
kubeadm修改證書時間

    
(1)、檢視當前的證書時間

# kubeadm alpha certs check-expiration
[check-expiration] Reading configuration from the cluster...
 


  
 

    


    
    
Kubernetes v1.25 編譯 kubeadm 修改證書有效期到 100 年

    
kubeadm 預設證書為一年,一年過期後,會導致 api service 不可用,使用過程中會出現:x509: certificate has expired or is not yet valid.
 


  
 

    


    
    
二十五、kubeamd安裝方式的證書時間修改

    
技術標籤:k8skubernetes
如果更新k8s版本會預設更新證書 檢查證書有效期(一部分10年一部分1年) openssl x509 -in apiserver.crt -text -noout
 


  
 

    


    
    
Oracle資料庫伺服器修改作業系統時間的注意事項詳解

    
Oracle 資料庫伺服器修改作業系統時間的注意事項:
對單機或者ha
1.對資料庫本身而言,其實是沒有影響的。因為scn不依賴於os時間
 


  
 

    


    
    
CentOS 7修改系統時間及硬體時間

    
在新的centos7裡,關於時間的指令除了保留了之前版本中常用到的date、hwclock等命令外,還增加了一個統一的命令timedatactl。下面結合其用法進行下小結。
 


  
 

    


    
    
Cobalt Strike修改證書

    
Keytool是一個Java資料證書的管理工具,Keytool將金鑰(key)和證書(certificates)存在一個稱為keystore的檔案中,即store字尾檔案中。
 


  
 

    


    
    
Linux下修改系統時間的簡單方法

    
開始的時候,或者網上都有的說法,比如說把時間設為2014-07-12 18:30:50。
我們會先設日期
 


  
 

    


    
    
Logstash修改UTC時間為東八區時間(北京時間

    
logstash時間戳@timestamp修改為北京時間

input {
beats {
port => \"5044\"
}
}
filter {
grok {
match => [ # 此處的^A為vim下的CTRL+A
 


  
 

    


    
    
Centos 7修改防火牆、時間與網路時間同步、解壓zip包、修改系統時間

    
一、防火牆的開啟、關閉、禁用命令
(1)設定開機啟用防火牆:systemctl enable firewalld.service 使用此命令需要重啟後才會生效。
 


  
 

    


    
    
linux檔案的三個時間修改檔案時間為任意時間

    
目錄一.檔案的三個時間二.修改檔案的三種時間為任意時間
一.檔案的三個時間
 


  
 

    


    
    
linux 修改系統時間和時區

    
技術標籤:shell指令碼Linux
首先現在你的linux系統上安裝tzselect這個命令 然後按照命令的提示選擇你的時區和你要修改時間
 


  
 

    


    
    
淺析postgresql 資料庫 TimescaleDB 修改分割槽時間範圍

    
今天遇到一個問題 之前用TimescaleDB建立的超表 是已7天為單位的 由於7天的資料量過大 影響查詢效率 需要把7天的分割槽改為一天一分割槽
 


  
 

    


    
    
c# 修改系統時間

    
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
 


  
 

    


    
    
kubeadm替換證書

    
替換原有的kubeadm的原始的1年的ca證書
--思路,重新編譯kubernetes,使用kubeadm重新生成證書
 


  
 

    


    
    
044.PGSQL-touch linux修改檔案時間、find的-mtime

    
touch支援像date命令一樣引數修改檔案時間:
[root@web10 ~]# touch -d \"2 days ago\" install.log ;
 


  
 

    


    
    
Centos修改機器時間方法

    
#修改系統時間date -s \"2019-09-24 17:02:30\"#修改硬體時間hwclock --set --date \"2019-09-24 17:03:30\"hwclock --show#同步系統時間和硬體時間hwclock --hctosys#儲存時鐘clock -whwclock --showtimedatectlti
 


  
 

    


    
    
使用 kubeadm 進行證書管理

    
參考:https://kubernetes.io/zh/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/
版本:v1.21

FEATURE STATE: Kubernetes v1.15 [stable]
 


  
 

    


    
    
Linux下檢視和修改檔案時間

    
Linux下檢視和修改檔案時間
一 、檢視檔案的時間及相關命令
1、stat 檢視檔案時間
 


  
 

    


    
    
Kubernetes版本離線升級(伺服器不能訪問網際網路)
    
Kubeadm頒發證書延遲到10年定時備份etcd資料

    
一、kubernetes升級概述
kubernetes版本升級迭代非常快,每三個月更新一個版本,很多新的功能在新版本中快速迭代,為了與社群版本功能保持一致,升級kubernetes叢集,社群已通過kubeadm工具統一升級叢集,升級步驟簡單
 


  
 

    


    
    
3.12 Linux建立檔案及修改檔案時間戳(touch命令)

    
既然知道了如何在 Linux 系統中建立目錄,接下來你可能會想在這些目錄中建立一些檔案,可以使用 touch 命令。