在不能升级版本的情况下,解决k8s证书到期且续约只有1年的问题

这篇具有很好参考价值的文章主要介绍了在不能升级版本的情况下,解决k8s证书到期且续约只有1年的问题。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

更新证书需要重启服务才能生效(证书已经过期和还未过期都要重启才能生效),重启会对业务产生影响,请申请时间窗口进行处理

注意该工具只适用于k8s版本v1.18.5、请按照服务器架构选择对应的版本

相关说明:

证书到期后 kube-scheduler 和 kube-controoler-manager 会出现异常,原先已经运行的Pod还能工作,当Pod出现异常重启或是被删除后无法自动重建。证书更新后需要重启 master 的 静态 Pods。因为动态证书重载目前还不被所有组件和证书支持,所有这项操作是必须的。 静态 Pods 是被本地 kubelet 而不是 API Server 管理, 所以 kubectl 不能用来删除或重启他们。

证书更新需要在所有k8s节点操作,使用定制的 kubeadm 工具更新证书,请按照以下步骤执行:

1.下载定制的 kubeadm 二进制文件,并上传到服务器,下载链接如下:

2.master节点执行如下命令,查看 k8s 组件证书有效期,RESIDUAL TIME 为 “invalid” 则表示已过期,如果没过期也可以提前续约;

kubeadm alpha certs check-expiration

3.对证书和配置进行备份,所有节点需要操作;

cp -a /etc/kubernetes /etc/kubernetes.bak

master节点再备份config配置

cp /root/.kube/config /root/.kube/config.bak

4.使用定制的 kubeadm 进行续约操作,所有master节点需要操作;

chmod u+x kubeadm-10y

./kubeadm-10y alpha certs renew all

5.执行以下命令,所有master节点使用更新后的 admin.conf 替换 /root/.kube/config 文件,出现提示时,输入 y 后回车;

cp -i /etc/kubernetes/admin.conf $HOME/.kube/config

y

6.master节点执行以下命令,查看 k8s 组件证书更新情况,RESIDUAL TIME 为 <数字>y 则标识证书已更新,且有效期10年;

kubeadm alpha certs check-expiration

7.master节点使用 kubectl 命令,检查输出是否正常

kubectl get pod -A

kubectl get node

8.所有master节点载入基础镜像防止部分节点缺少基础镜像

docker load -i /usr/share/proton-cs/images.tar

9.重启服务使得所有组件能使用新证书进行工作,master节点逐台运行以下命令,以降低重启的影响:

docker restart `docker ps | grep -E 'kube-apiserver|kube-scheduler|kube-controller|etcd|apigateway' | grep kube-system | grep -v 'anyrobot\|calico' | awk '{print $1}' | xargs` &>/dev/null

systemctl restart kubelet

10. 服务启动后还需检查kubelet 轮换证书是否已经过期,如果已经过期,需要参照 KB-3125 进行处理,检查方法如下,每个k8s节点执行命令:

openssl x509 -noout -in /var/lib/kubelet/pki/kubelet-client-current.pem -text| grep -i not

Not Before 指证书有效开始时间,Not After 指证书有效截至时间,如果 Not After 小于当前时间,说明证书已经过期,且没有自动轮换,需要手动干预解决

比如,当前时间是2024年1月16日,Not After 为 2023年5月6日,说明已经过期,需要参照 KB-3125 进行处理文章来源地址https://www.toymoban.com/news/detail-857259.html

到了这里,关于在不能升级版本的情况下,解决k8s证书到期且续约只有1年的问题的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 解决K8s证书过期问题

    K8s出现的问题:证书过期 参考K8s官方文档 查看运行日志: 关键错误:part of the existing bootstrap client certificate in /etc/kubernetes/kubelet.conf is expired: 2022-10-12 06:54:16 +0000 UTC 查看证书期限: 解决方式: 对过期证书进行备份,并删除旧的证书 重新生成证书 备份旧的配置文件 重新生成

    2024年02月16日
    浏览(56)
  • k8s集群证书过期解决

    问题现象 K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问。 执行命令发现报错: Unable to connect to the server: x509: certificate has expired or is not yet valid 查看K8S的日志: Part of the existing bootstrap client certificate is expired: 2023-08-29 02:29:04 +0

    2024年02月11日
    浏览(44)
  • 【K8s】¹版本回退升级&金丝雀发布

    为了更好的解决服务编排的问题, 我们可以使用Deployment控制器。这种控制器不直接管理pod,他通过ReplicaSet来管理pod。 目录 1.使用yaml文件形式,创建deployment 2.扩缩容 3.镜像更新 4.版本回退 5.金丝雀发布 金丝雀发布的优点 金丝雀发布的缺点 Deployment主要功能: 支持ReplicaSet的

    2024年02月03日
    浏览(38)
  • kubeadm升级k8s版本1.28.2升级至1.28.4(Ubuntu操作系统下)

    1.官网升级说明 升级 kubeadm 集群 | Kubernetes 2. 版本说明 详细参考:版本偏差策略 | Kubernetes Kubernetes 版本以  x.y.z  表示,其中  x  是主要版本,  y  是次要版本, z  是补丁版本。 版本升级控制:         1. 最新版和最老版的 kube-apiserver 实例版本偏差最多为一个次要版本

    2024年02月02日
    浏览(52)
  • 云原生Kubernetes:K8S集群版本升级(v1.20.6 - v1.20.15)

    目录 一、理论 1.K8S集群升级 2.集群概况 3.升级集群 4.验证集群 二、实验  1.升级集群 2.验证集群 三、问题 1.给node1节点打污点报错 (1)概念 搭建K8S集群的方式有很多种,比如二进制,kubeadm,RKE(Rancher)等,K8S集群升级方式也各有千秋,目前准备使用kubeadm方式搭建的k8s集群

    2024年02月07日
    浏览(48)
  • 云原生Kubernetes:K8S集群版本升级(v1.20.15 - v1.22.14)

    目录 一、理论 1.K8S集群升级 2.集群概况 3.升级集群(v1.21.14) 4.验证集群(v1.21.14) 5.升级集群(v1.22.14) 6.验证集群  (v1.22.14) 二、实验  1.升级集群(v1.21.14) 2.验证集群(v1.21.14)  3.升级集群(v1.22.14) 4.验证集群(v1.22.14) (1)概念 搭建K8S集群的方式有很多种,比如二

    2024年02月07日
    浏览(43)
  • 【C站首发】全网最新Kubernetes(K8s)1.28版本探秘及部署 基于Containerd容器运行时(100年证书kubeadm)

    序号 操作系统及版本 备注 1 CentOS7u9 需求 CPU 内存 硬盘 角色 主机名 值 8C 8G 1024GB master k8s-master01 值 8C 16G 1024GB worker(node) k8s-worker01 值 8C 16G 1024GB worker(node) k8s-worker02 1.3.1 主机名配置 由于本次使用3台主机完成kubernetes集群部署,其中1台为master节点,名称为k8s-master01;其中2台为wor

    2024年02月08日
    浏览(61)
  • etcd在高磁盘IO的情况下会导致K8S集群不可用的解决思路

    etcd是Kubernetes中用于存储集群状态信息的关键组件。高磁盘IO可能导致etcd性能下降,从而影响整个Kubernetes集群的稳定性。解决这个问题可以从多个方面入手: 优化etcd配置 :检查etcd的配置参数,确保其与您的硬件配置和集群规模相适应。可以调整etcd的并发限制、缓存大小等

    2024年02月15日
    浏览(35)
  • k8s集群网络插件搭建——————解决集群notready(k8s1.20版本,docker24)

            前面已经提到,在初始化 k8s-master 时并没有网络相关配置,所以无法跟 node 节点通信,因此状态都是“NotReady”。但是通过 kubeadm join 加入的 node 节点已经在k8s-master 上可以看到。  那么,这个时候我们该怎么办呢???????? 安装flannel         Master 节点

    2024年02月13日
    浏览(39)
  • k8s集群证书过期后,如何更新k8s证书

    对于版本 1.21.5,这是我的解决方案: ssh 到主节点,然后在步骤 2 中检查证书。 运行这个命令: kubeadm certs check-expiration 并看到昨天所有的都过期了。 所有现有证书的备份: 要全部更新,请运行以下命令: kubeadm certs renew all Done renewing certificates. You must restart the kube-apiserver

    2024年02月11日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包