博客
关于我
kubeadm证书/etcd证书过期处理
阅读量:817 次
发布时间:2019-03-24

本文共 1910 字,大约阅读时间需要 6 分钟。

今天突然测试环境的Kubernetes 持续集成/持续发布出了问题了,然后上测试环境服务器排查,发现kubectl指令执行出现问题,提示证书过期。错误信息显示为:Unable to connect to the server: x509: certificate has expired or is not yet valid。详细分析发现,这个问题源于Kubernetes API服务器与Kubelet服务之间的通信中,证书验证功能未能及时更新。

为了解决这个问题,进行了以下操作:

  • 备份现有配置文件和证书

    • 使用cp -rf命令将/etc/kubernetes目录复制到/etc/kubernetes_bak
    • 删除了/etc/kubernetes/pki/apiserver.*front-proxy-client.*以及相关的配置文件(如admin.confkubelet.conf等),以确保旧的证书文件不再影响新的部署。
  • 生成新的证书和配置文件

    • Within the Kubernetes configuration directory, executed the following commands:
      cd ~/kuberneteskubeadm alpha phase certs apiserver-kubelet-clientkubeadm alpha phase certs front-proxy-clientkubeadm alpha phase kubeconfig all --config config.yaml
    • 这些命令生成了新的API服务器、Kubelet客户端和前方代理客户端证书,同时更新了相关的配置文件。
  • 重启相关服务

    • Restarted kubelet和docker服务分别使用以下命令:
      systemctl restart kubeletsystemctl restart docker
    • For clusters with multiple master nodes, repeat this process on each master node, copying the new certificates and configuration files as needed.
  • 验证和测试

    • 使用openssl命令检查了新生成证书的有效日期,并确保它们的有效期超过当前时间。-重新运行了kubectl get node -o wide,观察到节点状态显示为“Ready”,表明集群服务已正常恢复。
  • 除了解决API服务器和Kubelet证书过期问题,ETCD集群的证书也需要及时更新。采取的解决步骤类似于Kubernetes集群的处理:

  • 备份ETCD数据

    • 使用tar命令备份了/var/lib/etcd/目录:
      cd /var/libtar -zvcf etcd.tar.gz etcd/
  • 重新生成ETCD证书

    • 在根目录下的SSL配置文件下,使用cfssl gencert工具生成新的ETCD证书和密钥文件:
      rm -rf /etc/etcd/ssl/*cd /root/sslcfssl gencert -initca ca-csr.json | cfssljson -bare ca ca.pem ca-key.pem -config ca-config.json -profile kubernetes-Soulmatecfssljson -bare etcd-cert etcd.pem etcd-key.pem -config etcd-config.json -profile kubernetes-Soulmatescp -r /etc/etcd/ssl/*.pem node02:/etc/etcd/ssl/scp -r /etc/etcd/ssl/*.pem node03:/etc/etcd/ssl/
  • 验证ETCD证书

    • 使用openssl确认新生成证书的有效日期,并确保它们仍在有效期内:
      [root@node01 ssl]# openssl x509 -in etcd.pem -noout -text | grep 'Not'Not Before: Oct  8 13:49:00 2020 GMTNot After : Oct  8 13:49:00 2021 GMT
  • 通过以上步骤,成功避免了由于证书过期导致的服务中断问题。这一过程遵循了Kubernetes官方推荐的证书管理流程,即定期生成和部署新的证书,以确保集群的安全运行。

    转载地址:http://qkgkk.baihongyu.com/

    你可能感兴趣的文章
    Mysql 数据库重置ID排序
    查看>>
    Mysql 数据类型一日期
    查看>>
    MySQL 数据类型和属性
    查看>>
    mysql 敲错命令 想取消怎么办?
    查看>>
    Mysql 整形列的字节与存储范围
    查看>>
    mysql 断电数据损坏,无法启动
    查看>>
    MySQL 日期时间类型的选择
    查看>>
    Mysql 时间操作(当天,昨天,7天,30天,半年,全年,季度)
    查看>>
    MySQL 是如何加锁的?
    查看>>
    MySQL 是怎样运行的 - InnoDB数据页结构
    查看>>
    mysql 更新子表_mysql 在update中实现子查询的方式
    查看>>
    MySQL 有什么优点?
    查看>>
    mysql 权限整理记录
    查看>>
    mysql 权限登录问题:ERROR 1045 (28000): Access denied for user ‘root‘@‘localhost‘ (using password: YES)
    查看>>
    MYSQL 查看最大连接数和修改最大连接数
    查看>>
    MySQL 查看有哪些表
    查看>>
    mysql 查看锁_阿里/美团/字节面试官必问的Mysql锁机制,你真的明白吗
    查看>>
    MySql 查询以逗号分隔的字符串的方法(正则)
    查看>>
    MySQL 查询优化:提速查询效率的13大秘籍(避免使用SELECT 、分页查询的优化、合理使用连接、子查询的优化)(上)
    查看>>
    mysql 查询数据库所有表的字段信息
    查看>>