k8s證書過期的處理方法

2022-01-26 07:58:29 字數 1450 閱讀 5579

前言:

kubeadm安裝的k8s集群有乙個證書問題,證書的有效期為一年,過期的話kubectl命令就會異常。解決辦法如下:

檢視證書是否有效:

sudo openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep '

not

'輸出:

not before: may

2403:32:37

2019

gmt not after : may

2303:32:38

2020 gmt

apiversion: kubeadm.k8s.io/v1beta1

kind: clusterconfiguration

kubernetesversion: v1.

13.3

imagerepository: my.registry:

5000/google_containers

更新證書命令:

kubeadm alpha certs renew all --config kubeadm.conf

sudo openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep '

not

'輸出:

not before: may

2403:32:37

2019

gmt not after : aug

1509:43:03

2020 gmt

重新生成配置檔案:

mv /etc/kubernetes/*

.conf ~/.

kubeadm init phase kubeconfig all --config kubeadm.conf

更新.kube下的配置檔案:

mv $home/.kube/config $home/.kube/config.old

sudo cp -i /etc/kubernetes/admin.conf $home/.kube/config

sudo chown $(id -u):$(id -g) $home/.kube/config

重啟kube-apiserver,kube-controller,kube-scheduler,etcd這4個容器:

docker ps | grep -v pause | grep -e "

etcd|scheduler|controller|apiserver

" | awk '

' | awk '

' | bash

以上步驟實測可用,僅限於1.13.3單節點集群。

k8s中的PKI證書

kubernetes需要pki證書才能進行基於tls的身份驗證,如果使用kubeadm安裝的kubernetes,則會自動生成集群所需要的證書。集群中是如何使用證書 etcd 還實現了雙向 tls 來對客戶端和對其他對等節點進行身份驗證。單根ca 可以建立乙個單根ca,有管理員控制它,該ca可以建立...

k8s證書過期之kubeadm重新生成證書

新版本 1.15 kubeadm alpha certs check expiration 或openssl x509 in etc kubernetes pki apiserver.crt noout text grep not 其他同理cp rp etc kubernetes etc kuber...

k8s證書自簽筆記

獲取元件 wget wget wget 建立乙個名為tls的資料夾,並將元件檔案移動到該資料夾下,同時新增可習性許可權 建立tls資料夾 mkdir p tls 移動檔案 mv cfssl linux amd64 tls cfssl mv cfssljson linux amd64 tls cfss...