目录
1 证书过期的情况
2 Kubernetes环境介绍
3 替换证书步骤
3.1 在master上查看各证书的过期时间
3.2 查看master(192.168.0.190)上kubelet证书列表
3.3 查看master(192.168.0.190)上kubelet证书的过期时间
3.4 查看node1和node2上kubelet证书的过期时间(同(2))
3.5 备份相关证书文件的目录
3.6 轮换master上证书
3.7 再次查看证书过期日期
3.8 查看/etc/kubernetes/pki/证书是否更新了
3.9 移除conf文件
3.10 重新生成kubeconfig文件
3.11 查看是否生成出来了新的配置文件
3.12 重新拷贝管理员所用的新的kubeconfig文件
3.13 重启kube-scheduler
4 轮换kubelet证书
4.1 轮换master上的kubelet证书
4.1.1 在master上查看证书签名请求(简称为CSR)
4.1.2 查看当前kubelet证书的过期时间
4.2 轮换node上的kubelet证书
4.2.1 生成node1所需要的kubelet.conf文件
4.2.2 切换到node1,重启kubelet
5 重启集群
6 后遗症
本博客参考
https://blog.csdn.net/Harry_z666/article/details/128015175
已进行了验证,非常感谢原文博主的记录~
另外,我的kubernetes版本为V1.23.4。
请在更新证书前使用命令行删除之前的工作部署容器,以免产生垃圾数据,对测试产生不必要的麻烦。截图上的时间请忽略,注意内容就好,毕竟记录本篇博客的时候我已经按着教程更新完了证书,都是补图或搜索到的状态类似的图。
1 证书过期的情况
使用kubeadm方式安装的kubernetes集群各个组件所使用的证书期限为1年,到期后,证书失效,kubectl命令无法使用,在使用kubectl命令时,报错无法连接到localhost:8080。
2 Kubernetes环境介绍
192.168.0.190为master节点,192.168.0.191、192.168.0.192分别为node1和node2节点。操作系统为linux 4.19.90-25.2.v2101.gfb01.ky10.aarch64
3 替换证书步骤
3.1 在master上查看各证书的过期时间
kubeadm certs check-expiration
3.2 查看master(192.168.0.190)上kubelet证书列表
ls /var/lib/kubelet/pki/
3.3 查看master(192.168.0.190)上kubelet证书的过期时间
openssl x509 -in /var/lib/kubelet/pki/kubelet-client-current.pem -noout -text | grep Not
3.4 查看node1和node2上kubelet证书的过期时间(同(2))
3.5 备份相关证书文件的目录
(很重要,养成备份好习惯,证书废掉集群就要重新安装了)
cp -r /etc/kubernetes/ /tmp/backup/ # 静态pods配置以及证书
cp -r /var/lib/kubelet/pki/ /tmp/backup.crr #证书pem存放目录
3.6 轮换master上证书
[root@master kubernetes]#kubeadm certs renew all
(借的图,因为我的证书已经更新完了,更新结束才进行的记录)
3.7 再次查看证书过期日期
[root@master kubernetes]#kubeadm certs check-expiration
3.8 查看/etc/kubernetes/pki/证书是否更新了
[root@master kubernetes]#ll -a /etc/kubernetes/pki/
当前kubernetes各组件所使用的kubeconfig在/etc/kubernetes/里:
[root@master kubernetes]#ll -a /etc/kubernetes/
3.9 移除conf文件
[root@master kubernetes]#rm -rf /etc/kubernetes/*.conf
[root@master kubernetes]#ls
3.10 重新生成kubeconfig文件
#注意版本号
[root@master kubernetes]#kubeadm init --kubernetes-version=v1.23.4 phase kubeconfig all
3.11 查看是否生成出来了新的配置文件
[root@master kubernetes]# ll -a /etc/kubernetes/
所需要的kubeconfig文件,就是上面的kubelet.conf。
3.12 重新拷贝管理员所用的新的kubeconfig文件
#备份下/root/.kube/config 文件:
cp /root/.kube/config /tmp/kube.old/config
#替换:
[root@master kubernetes]# cp /etc/kubernetes/admin.conf ~/.kube/config
3.13 重启kube-scheduler
[root@master kubernetes]# docker ps -a | grep kube-scheduler | awk ‘{print $1}’
[root@master kubernetes]# docker rm -f 上述容器
#等待kube-scheduler彻底启动起来,即状态为1/1。
[root@master kubernetes]# kubectl get pods -n kube-system | grep scheduler
4 轮换kubelet证书
4.1 轮换master上的kubelet证书
#查看kubelet当前所使用的证书
[root@master kubernetes]# ll -a /var/lib/kubelet/pki/
#通过kubeadm certs renew all更新的 k8s 证数,是不会更新 kubelet.conf 的证书的。
#所以此处的证书重启kubelet cho重新生成。
#因为前面已经重新生成了kubelet.conf,现在重启kubelet。
[root@master kubernetes]# systemctl restart kubelet
[root@master kubernetes]# ll -a /var/lib/kubelet/pki/
4.1.1 在master上查看证书签名请求(简称为CSR)
[root@master kubernetes]# kubectl get csr
#我的报的是“No Resource Found”,目前看来是不影响使用的,看其他人的是有信息的,不清楚具体原因。
[root@master kubernetes]# kubectl certificate approve csr-vg9bd
certificatesigningrequest.certificates.k8s.io/csr-vg9bd approved(未操作该步骤)
4.1.2 查看当前kubelet证书的过期时间
[root@master kubernetes]# openssl x509 -in /var/lib/kubelet/pki/kubelet-client-current.pem -noout -text |grep Not
#PS:未过期的话应该是可以不处理的,我当时查看kubelet的证书时间还没过期,所以没有操作证书替换
4.2 轮换node上的kubelet证书
4.2.1 生成node1所需要的kubelet.conf文件
#在master上生成worker所需要的kubelet.conf临时放在/tmp下
[root@master tmp]# mkdir -p /tmp/worker
#生成node1所需要的kubelet.conf文件。注意更改成自己的信息
[root@master worker]# kubeadm init --kubernetes-version=v1.23.4 phase kubeconfig kubelet --node-name node1 --kubeconfig-dir /tmp/worker/
#[kubeconfig] Writing “kubelet.conf” kubeconfig file
#node1(192.168.0.191)上的/etc/kubernetes/目录里覆盖原来的kubelet.conf。先备份原先node1的kubelet.conf文件:
[root@node1 kubernetes]# mv /etc/kubernetes/kubelet.conf /etc/kubernetes/kubeletconf.bak
[root@master worker]# scp /tmp/worker/kubelet.conf root@192.168.0.191:/etc/kubernetes/
4.2.2 切换到node1,重启kubelet
[root@node1 kubernetes]# systemctl restart kubelet
#再次查看证书
[root@node1 kubernetes]# ll -a /var/lib/kubelet/pki/
#查看kubelet证书的过期时间。
[root@node1 kubernetes]# openssl x509 -in /var/lib/kubelet/pki/kubelet-client-current.pem -noout -text | grep Not
#切换到master(192.168.0.190)上,查看CSR。(未操作)
[root@master worker]# kubectl get csr
其他节点同上操作。
5 重启集群
reboot
修改配置之后记得重启就行,大部分时候重启能解决很多问题~~
6 后遗症
如果容器不能自动调度,在节点少的情况下尝试手动分配各节点,之后就可以进行调度了,具体原因还不太清楚。文章来源:https://www.toymoban.com/news/detail-558754.html
如果更新证书后还有之前的任务容器,看着像在运行,实际没有工作,可以用命令行删除该容器,或在k8s里清理掉名称空间,防止垃圾数据造成容器无法重新启动。文章来源地址https://www.toymoban.com/news/detail-558754.html
到了这里,关于K8S证书过期解决办法之替换证书的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!