前言:
kubeadm安裝的k8s集群有乙個證書問題,證書的有效期為一年,過期的話kubectl命令就會異常。解決辦法如下:
檢視證書是否有效:
sudo openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep 'not
'輸出:
not before: may
2403:32:37
2019
gmt not after : may
2303:32:38
2020 gmt
apiversion: kubeadm.k8s.io/v1beta1kind: clusterconfiguration
kubernetesversion: v1.
13.3
imagerepository: my.registry:
5000/google_containers
更新證書命令:
kubeadm alpha certs renew all --config kubeadm.confsudo openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep '
not
'輸出:
not before: may
2403:32:37
2019
gmt not after : aug
1509:43:03
2020 gmt
重新生成配置檔案:
mv /etc/kubernetes/*.conf ~/.
kubeadm init phase kubeconfig all --config kubeadm.conf
更新.kube下的配置檔案:
mv $home/.kube/config $home/.kube/config.oldsudo cp -i /etc/kubernetes/admin.conf $home/.kube/config
sudo chown $(id -u):$(id -g) $home/.kube/config
重啟kube-apiserver,kube-controller,kube-scheduler,etcd這4個容器:
docker ps | grep -v pause | grep -e "etcd|scheduler|controller|apiserver
" | awk '
' | awk '
' | bash
以上步驟實測可用,僅限於1.13.3單節點集群。
k8s中的PKI證書
kubernetes需要pki證書才能進行基於tls的身份驗證,如果使用kubeadm安裝的kubernetes,則會自動生成集群所需要的證書。集群中是如何使用證書 etcd 還實現了雙向 tls 來對客戶端和對其他對等節點進行身份驗證。單根ca 可以建立乙個單根ca,有管理員控制它,該ca可以建立...
k8s證書過期之kubeadm重新生成證書
新版本 1.15 kubeadm alpha certs check expiration 或openssl x509 in etc kubernetes pki apiserver.crt noout text grep not 其他同理cp rp etc kubernetes etc kuber...
k8s證書自簽筆記
獲取元件 wget wget wget 建立乙個名為tls的資料夾,並將元件檔案移動到該資料夾下,同時新增可習性許可權 建立tls資料夾 mkdir p tls 移動檔案 mv cfssl linux amd64 tls cfssl mv cfssljson linux amd64 tls cfss...