实战:k8s证书续签-2023.6.19(测试成功)
目录
推荐文章
https://www.yuque.com/xyy-onlyone/aevhhf?# 《玩转Typora》
1、前言
k8s集群核心的证书有2套,还有1套非核心的(即使出问题也问题不大)。
⚠️ 如果是kubeadm搭建的k8s集群,其有效期为1年。
二进制搭建可以指定证书过期时间的。
2、续签过程
- 测试环境
1、win10,vmwrokstation虚机;
2、k8s集群:3台centos7.6 1810虚机,1个master节点,2个node节点
k8s version:v1.20.0
docker://20.10.7
- 测试软件(无)
①查看证书有效期
k8s证书目录:/etc/kubernetes/pki
方法1:
kubeadm certs check-expiration
上面:客户端证书
下面:根证书
这个证书时间是在哪个程序里控制的呢? --kubeadm源码。
如何解决k8s证书过期问题?
1、修改kubeadm源码里面证书默认有效期
2、kubeadm certs续签证书
3、升级k8s集群版本
方法2:
openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -dates
方法3:
echo |openssl s_client -showcerts -connect 127.0.0.1:6443 -servername api 2>/dev/null|openssl x509 -noout -enddate
②续签证书
1、备份
[root@k8s-master1 ~]#cp -r /etc/kubernetes/ /etc/kubernetes.bak
[root@k8s-master1 ~]#cp -r /var/lib/etcd/ /var/lib/etcd.bak
2、续签证书
kubeadm certs renew all
3、重启生效证书
kubectl delete po kube-apiserver-k8s-master1 kube-controller-manager-k8s-master1 kube-scheduler-k8s-master1 etcd-k8s-master1 -nkube-system
4、kubectl使用新配置文件
cp -f /etc/kubernetes/admin.conf $HOME/.kube/config
⚠️ 注意:
如果是多master,其它证书和配置文件拷贝过去覆盖或者做上述同样操作。
③测试
3、建议
建议:
对k8s集群证书有效期做好监控。
对https网站的域名证书做好监控。
关于我
我的博客主旨:
- 排版美观,语言精炼;
- 文档即手册,步骤明细,拒绝埋坑,提供源码;
- 本人实战文档都是亲测成功的,各位小伙伴在实际操作过程中如有什么疑问,可随时联系本人帮您解决问题,让我们一起进步!
🍀 微信二维码
x2675263825 (舍得), qq:2675263825。
🍀 微信公众号
《云原生架构师实战》
🍀 语雀
https://www.yuque.com/xyy-onlyone
🍀 csdn
https://blog.csdn.net/weixin_39246554?spm=1010.2135.3001.5421
🍀 知乎
https://www.zhihu.com/people/foryouone
2135.3001.5421)
[外链图片转存中…(img-W3hWsQut-1687471061620)]
🍀 知乎
https://www.zhihu.com/people/foryouone
[外链图片转存中…(img-d5AZKoww-1687471061620)]