kubeadm证书/etcd证书过期处理

简介: kubeadm证书/etcd证书过期处理

今天突然测试环境的Kubernetes 持续集成/持续发布出了问题了,然后上测试环境服务器排查,发现kubectl指令执行出现问题,

Unable to connect to the server: x509: certificate has expired or is not yet valid

然后翻译了一下提示证书已过期,网上查了下资料,说是:kubernetes的apiServer 与kubelet的访问授权证书是一年,官方的解释是:通过这种方式,让用户不断的升级版本。给出的解决方案有以下几种:
去掉证书验证功能(不科学,等于自己去改源码)
重新生成证书,替换旧的。
升级集群,自动更新证书
部署一套新的环境,业务迁移过去。
https://github.com/kubernetes/kubeadm/issues/581

查看证书的有效日期:(这是已经更新的了的。默认有效期为一年)

[root@node01 bin]# openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not '
            Not Before: May 18 07:34:20 2018 GMT
            Not After : May 19 04:23:55 2020 GMT

开始替换证书:
一、 备份原来的配置文件及证书

[root@node01 bin]#  cp -rf /etc/kubernetes /etc/kubernetes_bak/
[root@node01 bin]#  cd /etc/kubernetes/
[root@node01 kubernetes]#  rm -f pki/apiserver*
[root@node01 kubernetes]#  rm -f pki/front-proxy-client.*
[root@node01 kubernetes]#  rm -f ./admin.conf
[root@node01 kubernetes]#  rm -f ./kubelet.conf
[root@node01 kubernetes]#  rm -f ./controller-manager.conf
[root@node01 kubernetes]#  rm -f ./scheduler.conf

二、 创建新证书及配置文件。

[root@node01 kubernetes]# cd ~/kubernetes/
[root@node01 kubernetes]# ls
config.yaml  kube-flannel.yml  kubernetes-dashboard.yaml
[root@node01 kubernetes]# pwd
/root/kubernetes
[root@node01 kubernetes]# kubeadm alpha phase certs all --config config.yaml   #生成证书  config.yaml是kubeadm init时候的配置参数
[root@node01 kubernetes]# kubeadm alpha phase certs apiserver-kubelet-client
[root@node01 kubernetes]# kubeadm alpha phase certs front-proxy-client

[root@node01 kubernetes]# kubeadm alpha phase kubeconfig all --config config.yaml # 生成配置文件
[root@node01 kubernetes]# systemctl restart kubelet  # 重启Kubelet、docker
[root@node01 kubernetes]# systemctl restart docker # 只要是重启kubernetes的相关组件

P.S: 如果有多台master 则把证书和配置文件拷贝过去重启kubernetes组件即可。

三、 查看证书日期、测试:

[root@node01 bin]# openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not '
            Not Before: May 18 07:34:20 2018 GMT
            Not After : May 19 04:23:55 2020 GMT

[root@node01 ~]# kubectl get node -o wide
NAME      STATUS    ROLES     AGE       VERSION   EXTERNAL-IP   OS-IMAGE                KERNEL-VERSION              CONTAINER-RUNTIME
node01    Ready     master    1y        v1.10.2   <none>        CentOS Linux 7 (Core)   3.10.0-693.el7.x86_64       docker://17.3.2
node02    Ready     <none>    1y        v1.10.2   <none>        CentOS Linux 7 (Core)   3.10.0-693.el7.x86_64       docker://17.3.2
node03    Ready     <none>    1y        v1.10.2   <none>        CentOS Linux 7 (Core)   3.10.0-693.el7.x86_64       docker://17.3.2
node05    Ready     <none>    333d      v1.10.2   <none>        CentOS Linux 7 (Core)   3.10.0-862.3.3.el7.x86_64   docker://17.3.2
node06    Ready     <none>    318d      v1.10.2   <none>        CentOS Linux 7 (Core)   3.10.0-514.el7.x86_64       docker://17.3.2

关于ETCD集群的证书过期解决方案:

先备份数据(/var/lib/etcd/)
根据部署时候生成证书的步骤重新生成etcd证书,然后替换。

检查etcd的证书,发现etcd同样也过期了:

[root@node01 ssl]#  openssl x509 -in etcd.pem -noout -text |grep ' Not '
            Not Before: Oct  8 13:49:00 2020 GMT
            Not After : Oct  8 13:49:00 2020 GMT
[root@node01 ssl]# pwd
/etc/etcd/ssl

在替换证书之前先把etcd的数据备份一下

cd /var/lib
tar -zvcf etcd.tar.gz etcd/

创建新的证书

rm -rf /etc/etcd/ssl/*   #删除旧的证书
cd /root/ssl
cfssl gencert -initca ca-csr.json | cfssljson -bare ca

cfssl gencert -ca=ca.pem \
  -ca-key=ca-key.pem \
  -config=ca-config.json \
  -profile=kubernetes-Soulmate etcd-csr.json | cfssljson -bare etcd

cp etcd.pem etcd-key.pem ca.pem /etc/etcd/ssl/
scp -r /etc/etcd/ssl/*.pem node02:/etc/etcd/ssl/
scp -r /etc/etcd/ssl/*.pem node03:/etc/etcd/ssl/

在查看证书时间

[root@node01 ssl]#  openssl x509 -in etcd.pem -noout -text |grep ' Not '
            Not Before: Oct  8 13:49:00 2020 GMT
            Not After : Oct  8 13:49:00 2021 GMT
[root@node01 ssl]# pwd
/etc/etcd/ssl
相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
相关文章
|
网络协议 网络安全
acme.sh从 letsencrypt 生成SSL免费证书并自动更新证书
acme.sh从 letsencrypt 生成SSL免费证书并自动更新证书
1664 0
|
应用服务中间件 Linux API
acme.sh 快速实现 https 证书颁发与自动续期
借助acem.sh来迅速实现 let's encrypt 的泛域名 ssl 证书颁发与续期,基本上五分钟就可以解决战斗
3047 0
|
4月前
|
Kubernetes Java Linux
kubenetes证书过期之续签证书
kubenetes证书过期之续签证书
|
4月前
|
Kubernetes 容器
查看k8s secrets证书有效期
查看k8s secrets证书有效期
|
7月前
|
域名解析 运维 网络协议
使用ACME CA为ASM网关签发证书
阿里云服务网格ASM提供全托管式服务网格平台,兼容Istio开源服务网格,简化服务治理,包括流量管理、认证安全和可观测性。产品文档:[https://help.aliyun.com/zh/asm](https://help.aliyun.com/zh/asm)。本文指导如何使用cert-manager和ACME CA为ASM网关获取HTTPS证书,涉及ACME协议、挑战验证及Let's Encrypt的使用。
233 2
|
JSON API Go
etcd的安装和使用
etcd的安装和使用
223 0
|
7月前
|
安全 算法 网络安全
windows服务器——部署PKI与证书服务
windows服务器——部署PKI与证书服务
166 0
|
JSON Java 应用服务中间件
使用 Caddy 代替 acme.sh 来为自己的网站颁发免费 SSL 证书
使用 Caddy 代替 acme.sh 来为自己的网站颁发免费 SSL 证书
使用 Caddy 代替 acme.sh 来为自己的网站颁发免费 SSL 证书
|
安全 网络协议 网络安全
部署PKI 和证书服务
部署PKI 和证书服务
168 0