附025.kubeadm部署Kubernetes更新證書

来源:https://www.cnblogs.com/itzgr/archive/2020/07/24/13370185.html
-Advertisement-
Play Games

一 查看證書 1.1 查看過期時間-方式一 1 [root@master01 ~]# tree /etc/kubernetes/pki/ 2 [root@master01 ~]# for tls in `find /etc/kubernetes/pki -maxdepth 2 -name "*.cr ...


一 查看證書

1.1 查看過期時間-方式一

  1 [root@master01 ~]# tree /etc/kubernetes/pki/
  2 [root@master01 ~]# for tls in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`; \
  3 do echo ===============$tls===============; \
  4 openssl x509 -in $tls -text| grep Not; \
  5 done
  clipboard

1.1 查看過期時間-方式二

  1 [root@master01 ~]# tree /etc/kubernetes/pki/
clipboard
  1 [root@master01 ~]# kubeadm alpha certs check-expiration
clipboard 提示:由上可知,根證書有效期為10年,其他所有證書有效期為1年。

二 證書類別

2.1 集群根證書

  1 [root@master01 ~]# ll /etc/kubernetes/pki/ca*
  2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/ca.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/ca.key
  由此集群根證書簽發的證書有:
  1. kube-apiserver 組件持有的服務端證書
  1 [root@master01 ~]# ll /etc/kubernetes/pki/apiserver.*
  2 -rw-r--r-- 1 root root 1.3K Jun 15 21:08 /etc/kubernetes/pki/apiserver.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/apiserver.key
 
  1. kubelet 組件持有的客戶端證書
  1 [root@master01 ~]# ll /etc/kubernetes/pki/apiserver-kubelet-client.*
  2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/apiserver-kubelet-client.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/apiserver-kubelet-client.key
  提示:kubelet的/var/lib/kubelet/config.yaml配置文件中一般不會明確指定服務端證書,而是只指定 ca 根證書, 讓 kubelet 根據本地主機信息自動生成服務端證書並保存到配置的cert-dir文件夾中。

2.2 匯聚層證書

  1 [root@master01 ~]# ll /etc/kubernetes/pki/front-proxy-ca.*
  2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/front-proxy-ca.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/front-proxy-ca.key
  由此匯聚層根證書簽發的證書有:
  1 [root@master01 ~]# ll /etc/kubernetes/pki/front-proxy-client.*
  2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/front-proxy-client.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/front-proxy-client.key
 

2.3 etcd集群根證書

  1 [root@master01 ~]# ll /etc/kubernetes/pki/etcd/ca.*
  2 -rw-r--r-- 1 root root 1017 Jun 15 21:08 /etc/kubernetes/pki/etcd/ca.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/etcd/ca.key
  由此etcd根證書簽發的證書有:
  1. etcd server服務端證書
  1 [root@master01 ~]# ll /etc/kubernetes/pki/etcd/server.*
  2 -rw-r--r-- 1 root root 1.2K Jun 15 21:08 /etc/kubernetes/pki/etcd/server.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/etcd/server.key
 
  1. etcd 集群中peer節點互相通信使用的客戶端證書
  1 [root@master01 ~]# ll /etc/kubernetes/pki/etcd/peer.*
  2 -rw-r--r-- 1 root root 1.2K Jun 15 21:08 /etc/kubernetes/pki/etcd/peer.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/etcd/peer.key
 
  1. pod 中定義 Liveness 探針使用的客戶端證書
  1 [root@master01 ~]# ll /etc/kubernetes/pki/etcd/healthcheck-client.*
  2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/etcd/healthcheck-client.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/etcd/healthcheck-client.key
 
  1. 配置在 kube-apiserver 中用來與 etcd server 做雙向認證的客戶端證書
  1 [root@master01 ~]# ll /etc/kubernetes/pki/apiserver-etcd-client.*
  2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/apiserver-etcd-client.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/apiserver-etcd-client.key
 

2.4 Serveice Account密鑰

  1 [root@master01 ~]# ll /etc/kubernetes/pki/sa.*
  2 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/sa.key
  3 -rw------- 1 root root  451 Jun 15 21:08 /etc/kubernetes/pki/sa.pub
    Serveice Account密鑰對僅提供給 kube-controller-manager 使用. kube-controller-manager 通過 sa.key 對 token 進行簽名, master 節點通過公鑰 sa.pub 進行簽名的驗證。 延伸:API Server身份驗證過程: API Server的authenticating環節支持多種身份校驗方式:client cert、bearer token、static password auth等,這些方式中只要有一種方式通過authenticating(Kubernetes API Server會逐個方式嘗試),那麼身份校驗就會通過。 一旦API Server發現client發起的request使用的是service account token的方式,API Server就會自動採用signed bearer token方式進行身份校驗。而request則使用攜帶的service account token參與驗證。該token是API Server在創建service account時用API server啟動參數:–service-account-key-file的值簽署(sign)生成的。如果–service-account-key-file未傳入任何值,那麼將預設使用–tls-private-key-file的值,即API Server的私鑰(server.key)。 通過authenticating後,API Server將根據Pod username所在的group:system:serviceaccounts和system:serviceaccounts:(NAMESPACE)的許可權對其進行authority 和admission control兩個環節的處理。在這兩個環節中,cluster管理員可以對service account的許可權進行細化設置。   kubeadm 創建的集群,kube-proxy、flannel、coreDNS是以 pod 形式運行的,在 pod 中,直接使用 service account 與 kube-apiserver 進行認證,此時就不需要再單獨為 kube-proxy 創建證書。

三 更新證書方法一

提示:此方式採用kubeadm預設延期1年時間的策略,若要自定義更長時間,如100年,參考開步驟四。

3.1 備份集群配置

  1 [root@master01 ~]# kubeadm config view > kubeadm-cluster.yaml
clipboard

3.2 更新證書

  1 [root@master01 ~]# kubeadm alpha certs renew --help		#查看幫助
clipboard 提示:由help可知,證書更新可針對單個證書更新。
  1 [root@master01 ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml	#更新所有證書
clipboard
  1 [root@master01 ~]# kubeadm alpha certs check-expiration		#確認驗證
clipboard
  1 [root@master01 ~]# scp -rp kubeadm-cluster.yaml root@master02:/root/
  2 [root@master01 ~]# scp -rp kubeadm-cluster.yaml root@master03:/root/
  3 [root@master02 ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml
  4 [root@master03 ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml
  提示:更新操作需要在所有master節點執行。

3.3 啟用證書

在三台Master上執行重啟kube-apiserver、kube-controller、kube-scheduler、etcd這4個容器,以便使證書生效。  
  1 [root@master01 ~]# docker ps |grep -E 'k8s_kube-apiserver|k8s_kube-controller-manager|k8s_kube-scheduler|k8s_etcd_etcd' | awk -F ' ' '{print $1}' |xargs docker restart
  2 [root@master02 ~]# docker ps |grep -E 'k8s_kube-apiserver|k8s_kube-controller-manager|k8s_kube-scheduler|k8s_etcd_etcd' | awk -F ' ' '{print $1}' |xargs docker restart
  3 [root@master03 ~]# docker ps |grep -E 'k8s_kube-apiserver|k8s_kube-controller-manager|k8s_kube-scheduler|k8s_etcd_etcd' | awk -F ' ' '{print $1}' |xargs docker restart
提示:啟用操作需要在所有master節點執行。

四 更新證書方法二

提示:此方式採用編譯kubeadm源碼,源碼中自定義證書時間,如100年。

4.1 備份集群配置

  1 [root@master01 ~]# kubeadm config view > kubeadm-cluster.yaml

4.2 查看當前版本

  1 [root@master01 ~]# kubectl version
clipboard

4.3 獲取源碼

  1 [root@master01 ~]# wget https://github.com/kubernetes/kubernetes/archive/v1.18.3.tar.gz
  2 [root@master01 ~]# tar -zxvf v1.18.3.tar.gz
  3 
 

4.4 修改CA證書時間

  1 [root@master01 ~]# vi kubernetes-1.18.3/staging/src/k8s.io/client-go/util/cert/cert.go
  2 ……
  3  57 func NewSelfSignedCACert(cfg Config, key crypto.Signer) (*x509.Certificate, error) {
  4 ……
  5  65         NotBefore:             now.UTC(),
  6  66         NotAfter:              now.Add(duration365d * 100).UTC(),
  7 ……
  提示:ca證書最大時間限定為100年,若要將最大時限也延長,可在cert.go中修改如下maxAge值: maxAge := time.Hour * 24 * 365 * 10

4.5 修改其他證書時間

  1 [root@master01 ~]# vi kubernetes-1.18.3/cmd/kubeadm/app/constants/constants.go
  2 ……
  3  39 const (
  4  48     // CertificateValidity defines the validity for all the signed certificates generated by kubeadm
  5  49     CertificateValidity = time.Hour * 24 * 365 * 100
  6 ……
  7 [root@master01 kubernetes-1.18.3]# cat build/build-image/cross/VERSION
  8 v1.13.9-5					#使用官方corss版本
 

4.6 編譯kubeadm方式一

  1 [root@master01 kubernetes-1.18.3]# docker pull us.gcr.io/k8s-artifacts-prod/build-image/kube-cross:v1.13.9-5
  2 [root@master01 ~]# docker run --rm -v /root/kubernetes-1.18.3/:/go/src/k8s.io/kubernetes -it us.gcr.io/k8s-artifacts-prod/build-image/kube-cross:v1.13.9-5 bash
  3 root@51e96585ea73:/go# cd /go/src/k8s.io/kubernetes
  4 root@51e96585ea73:/go/src/k8s.io/kubernetes# make all WHAT=cmd/kubeadm GOFLAGS=-v
  提示:若要編譯其他命令,可參考如下: # 編譯kubelet # make all WHAT=cmd/kubelet GOFLAGS=-v # 編譯kubectl # make all WHAT=cmd/kubectl GOFLAGS=-v   #編譯完命令在 _output/bin/kubeadm 目錄下, #其中bin是使用了軟連接 #真實路徑是_output/local/bin/linux/amd64/kubeadm
  1 root@51e96585ea73:/go/src/k8s.io/kubernetes# exit			#退出容器
  2 [root@master01 ~]# mv /usr/bin/kubeadm /usr/bin/kubeadm_backup	#備份原kubeadm
  3 [root@master01 ~]# cp kubernetes-1.18.3/_output/local/bin/linux/amd64/kubeadm /usr/bin/kubeadm
  4 [root@master01 ~]# kubeadm version		                        #查看版本
 

4.7 編譯kubeadm方式二

  1 [root@master01 ~]# yum -y install gcc make rsync jq
  2 [root@master01 ~]# wget https://dl.google.com/go/go1.13.9.linux-amd64.tar.gz
  3 [root@master01 ~]# tar zxvf go1.13.9.linux-amd64.tar.gz -C /usr/local/
  4 [root@master01 ~]# vi /etc/profile.d/goenv.sh
  5 #go setting
  6 export GOROOT=/usr/local/go
  7 export GOPATH=/usr/local/gopath
  8 export PATH=$PATH:$GOROOT/bin
  9 [root@master01 ~]# source /etc/profile
 10 [root@master01 ~]# go version
 11 go version go1.13.9 linux/amd64
 12 [root@master01 ~]# cd kubernetes-1.18.3/
 13 [root@master01 kubernetes-1.18.3]# make all WHAT=cmd/kubeadm GOFLAGS=-v
 14 [root@master01 kubernetes-1.18.3]# mv /usr/bin/kubeadm /usr/bin/kubeadm_backup	#備份原kubeadm
 15 [root@master01 kubernetes-1.18.3]# cp _output/local/bin/linux/amd64/kubeadm /usr/bin/kubeadm
 

4.8 備份集群配置

  1 [root@master01 ~]# kubeadm config view > kubeadm-cluster.yaml

4.8 更新證書

  1 [root@master01 ~]# ssh root@master02 "mv /usr/bin/kubeadm /usr/bin/kubeadm_backup"
  2 [root@master01 ~]# ssh root@master03 "mv /usr/bin/kubeadm /usr/bin/kubeadm_backup"
  3 [root@master01 ~]# scp -rp kubeadm-cluster.yaml root@master02:/root/
  4 [root@master01 ~]# scp -rp kubeadm-cluster.yaml root@master03:/root/
  5 [root@master01 ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml
  6 [root@master02 ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml
  7 [root@master03 ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml
  8 [root@master01 ~]# kubeadm alpha certs check-expiration		#確認驗證
  clipboard 提示:更新操作需要在所有master節點執行。 所有根證書:ca、etcd-ca、front-proxy-ca只有在init初始化的時候才會更新時間,因此建議對於kubeadm部署Kubernetes,可以在初始化之前使用編譯的方式將證書設置為更長時間,如100年。 clipboard

4.9 啟用證書

在三台Master上執行重啟kube-apiserver、kube-controller、kube-scheduler、etcd這4個容器,以便使證書生效。 參考3.3即可。
您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 一直不怎麼喜歡IIS,就一個簡單的服務,要安裝IIS,然後各種配置,雖然可以用程式一鍵搭建IIS環境和啟動服務,但是也麻煩的很。 之前接觸過一段Java,覺得Tomcat挺方便,一拷貝點擊運行就Ok。後來看到官網 WebAPI2使用OWIN自托管控制台啟動, 測試一下挺正常的,項目也採用這種方式部署 ...
  • 目錄 一、目的 二、準備 2.1 硬體 2.2 軟體 2.3 網路 結果 三、過程 3.1 鏡像製作 1.選擇鏡像 2. 製作啟動盤 3.2 安裝系統 1. 換源 2. 配置SSH 3. 設置靜態IP 4. 宿主機配置 5. 查看網卡 6. 修改配置文件 6.1 修改 6.2 新增 7. 重啟網路 ...
  • 痞子衡這幾天在支持一個i.MXRT1050客戶項目,客戶遇到了軟複位無法從32MB NOR Flash重新啟動的問題。這個客戶是做醫療設備的,已經基於i.MXRT做出一款成功的產品了,所以客戶其實有豐富的i.MXRT使用經驗。目前調試的項目是客戶的第二款產品,這個軟複位無法啟動問題已經困擾他們很久,... ...
  • 大家都知道,當我們的 Linux 系統電腦出現問題時,需要對其排除故障,首先需要做的是找出電腦的硬體信息。下麵介紹一個簡單易用的應用程式——HardInfo,你可以利用它來顯示你電腦的每個硬體方面的信息,它的好處就是不必去拆分電腦單獨查看每個部件。 安裝HardInfo工具 有的小伙伴會問如何去 ...
  • 最近,使用ubuntu 發現預設不能使用 x11轉發。配置修改如下: sudo vim /etc/ssh/sshd_config:修改服務端的sshd X11Forwarding yes sudo systemctl restart sshd.service sudo vim /etc/ssh/ss ...
  • 最近出現的許多記憶體問題都以3D Xpoint的形式出現在ReRAM,MRAM和PCRAM上。但是鐵電RAM(FRAM)在小型利基設備中得到了成功。去年對新興記憶體年報,吹捧的ReRAM,MRAM和PCRAM的三個關鍵新興的記憶保持在眼睛上。但它也指出,FRAM已在諸如大眾運輸卡,游戲系統和功率計之類的 ...
  • ​Nginx 是一個很強大的高性能Web和反向代理服務,它具有很多非常優越的特性,在連接高併發的情況下,Nginx是Apache服務不錯的替代品。其特點是占有記憶體少,併發能力強,事實上nginx的併發能力在同類型的網頁伺服器中表現較好,因此國內知名大廠例如:淘寶,京東,百度,新浪,網易,騰訊等等都在 ...
  • 1、下載https://github.com/alibaba/nacos/releases nacos-server-1.3.1.tar.gz 源碼包2、上傳到liunx伺服器 /usr/local下3、 解壓tar -zxvf nacos-server-1.3.1.tar.gz4、進入解壓後的na ...
一周排行
    -Advertisement-
    Play Games
  • .Net8.0 Blazor Hybird 桌面端 (WPF/Winform) 實測可以完整運行在 win7sp1/win10/win11. 如果用其他工具打包,還可以運行在mac/linux下, 傳送門BlazorHybrid 發佈為無依賴包方式 安裝 WebView2Runtime 1.57 M ...
  • 目錄前言PostgreSql安裝測試額外Nuget安裝Person.cs模擬運行Navicate連postgresql解決方案Garnet為什麼要選擇Garnet而不是RedisRedis不再開源Windows版的Redis是由微軟維護的Windows Redis版本老舊,後續可能不再更新Garne ...
  • C#TMS系統代碼-聯表報表學習 領導被裁了之後很快就有人上任了,幾乎是無縫銜接,很難讓我不想到這早就決定好了。我的職責沒有任何變化。感受下來這個系統封裝程度很高,我只要會調用方法就行。這個系統交付之後不會有太多問題,更多應該是做小需求,有大的開發任務應該也是第二期的事,嗯?怎麼感覺我變成運維了?而 ...
  • 我在隨筆《EAV模型(實體-屬性-值)的設計和低代碼的處理方案(1)》中介紹了一些基本的EAV模型設計知識和基於Winform場景下低代碼(或者說無代碼)的一些實現思路,在本篇隨筆中,我們來分析一下這種針對通用業務,且只需定義就能構建業務模塊存儲和界面的解決方案,其中的數據查詢處理的操作。 ...
  • 對某個遠程伺服器啟用和設置NTP服務(Windows系統) 打開註冊表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer 將 Enabled 的值設置為 1,這將啟用NTP伺服器功 ...
  • title: Django信號與擴展:深入理解與實踐 date: 2024/5/15 22:40:52 updated: 2024/5/15 22:40:52 categories: 後端開發 tags: Django 信號 松耦合 觀察者 擴展 安全 性能 第一部分:Django信號基礎 Djan ...
  • 使用xadmin2遇到的問題&解決 環境配置: 使用的模塊版本: 關聯的包 Django 3.2.15 mysqlclient 2.2.4 xadmin 2.0.1 django-crispy-forms >= 1.6.0 django-import-export >= 0.5.1 django-r ...
  • 今天我打算整點兒不一樣的內容,通過之前學習的TransformerMap和LazyMap鏈,想搞點不一樣的,所以我關註了另外一條鏈DefaultedMap鏈,主要調用鏈為: 調用鏈詳細描述: ObjectInputStream.readObject() DefaultedMap.readObject ...
  • 後端應用級開發者該如何擁抱 AI GC?就是在這樣的一個大的浪潮下,我們的傳統的應用級開發者。我們該如何選擇職業或者是如何去快速轉型,跟上這樣的一個行業的一個浪潮? 0 AI金字塔模型 越往上它的整個難度就是職業機會也好,或者說是整個的這個運作也好,它的難度會越大,然後越往下機會就會越多,所以這是一 ...
  • @Autowired是Spring框架提供的註解,@Resource是Java EE 5規範提供的註解。 @Autowired預設按照類型自動裝配,而@Resource預設按照名稱自動裝配。 @Autowired支持@Qualifier註解來指定裝配哪一個具有相同類型的bean,而@Resourc... ...