博客
关于我
kubeadm证书/etcd证书过期处理
阅读量:817 次
发布时间:2019-03-24

本文共 1910 字,大约阅读时间需要 6 分钟。

今天突然测试环境的Kubernetes 持续集成/持续发布出了问题了,然后上测试环境服务器排查,发现kubectl指令执行出现问题,提示证书过期。错误信息显示为:Unable to connect to the server: x509: certificate has expired or is not yet valid。详细分析发现,这个问题源于Kubernetes API服务器与Kubelet服务之间的通信中,证书验证功能未能及时更新。

为了解决这个问题,进行了以下操作:

  • 备份现有配置文件和证书

    • 使用cp -rf命令将/etc/kubernetes目录复制到/etc/kubernetes_bak
    • 删除了/etc/kubernetes/pki/apiserver.*front-proxy-client.*以及相关的配置文件(如admin.confkubelet.conf等),以确保旧的证书文件不再影响新的部署。
  • 生成新的证书和配置文件

    • Within the Kubernetes configuration directory, executed the following commands:
      cd ~/kuberneteskubeadm alpha phase certs apiserver-kubelet-clientkubeadm alpha phase certs front-proxy-clientkubeadm alpha phase kubeconfig all --config config.yaml
    • 这些命令生成了新的API服务器、Kubelet客户端和前方代理客户端证书,同时更新了相关的配置文件。
  • 重启相关服务

    • Restarted kubelet和docker服务分别使用以下命令:
      systemctl restart kubeletsystemctl restart docker
    • For clusters with multiple master nodes, repeat this process on each master node, copying the new certificates and configuration files as needed.
  • 验证和测试

    • 使用openssl命令检查了新生成证书的有效日期,并确保它们的有效期超过当前时间。-重新运行了kubectl get node -o wide,观察到节点状态显示为“Ready”,表明集群服务已正常恢复。
  • 除了解决API服务器和Kubelet证书过期问题,ETCD集群的证书也需要及时更新。采取的解决步骤类似于Kubernetes集群的处理:

  • 备份ETCD数据

    • 使用tar命令备份了/var/lib/etcd/目录:
      cd /var/libtar -zvcf etcd.tar.gz etcd/
  • 重新生成ETCD证书

    • 在根目录下的SSL配置文件下,使用cfssl gencert工具生成新的ETCD证书和密钥文件:
      rm -rf /etc/etcd/ssl/*cd /root/sslcfssl gencert -initca ca-csr.json | cfssljson -bare ca ca.pem ca-key.pem -config ca-config.json -profile kubernetes-Soulmatecfssljson -bare etcd-cert etcd.pem etcd-key.pem -config etcd-config.json -profile kubernetes-Soulmatescp -r /etc/etcd/ssl/*.pem node02:/etc/etcd/ssl/scp -r /etc/etcd/ssl/*.pem node03:/etc/etcd/ssl/
  • 验证ETCD证书

    • 使用openssl确认新生成证书的有效日期,并确保它们仍在有效期内:
      [root@node01 ssl]# openssl x509 -in etcd.pem -noout -text | grep 'Not'Not Before: Oct  8 13:49:00 2020 GMTNot After : Oct  8 13:49:00 2021 GMT
  • 通过以上步骤,成功避免了由于证书过期导致的服务中断问题。这一过程遵循了Kubernetes官方推荐的证书管理流程,即定期生成和部署新的证书,以确保集群的安全运行。

    转载地址:http://qkgkk.baihongyu.com/

    你可能感兴趣的文章
    Mysql 会导致锁表的语法
    查看>>
    mysql 使用sql文件恢复数据库
    查看>>
    mysql 修改默认字符集为utf8
    查看>>
    Mysql 共享锁
    查看>>
    MySQL 内核深度优化
    查看>>
    mysql 内连接、自然连接、外连接的区别
    查看>>
    mysql 写入慢优化
    查看>>
    mysql 分组统计SQL语句
    查看>>
    Mysql 分页
    查看>>
    Mysql 分页语句 Limit原理
    查看>>
    MySql 创建函数 Error Code : 1418
    查看>>
    MySQL 创建新用户及授予权限的完整流程
    查看>>
    mysql 创建表,不能包含关键字values 以及 表id自增问题
    查看>>
    mysql 删除日志文件详解
    查看>>
    mysql 判断表字段是否存在,然后修改
    查看>>
    MySQL 到底能不能放到 Docker 里跑?
    查看>>
    mysql 前缀索引 命令_11 | Mysql怎么给字符串字段加索引?
    查看>>
    MySQL 加锁处理分析
    查看>>
    mysql 协议的退出命令包及解析
    查看>>
    mysql 参数 innodb_flush_log_at_trx_commit
    查看>>