Kubernetes(k8s)-v1.22.3版本证书有效期修改

2024-02-26 01:50

本文主要是介绍Kubernetes(k8s)-v1.22.3版本证书有效期修改,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

用了一段时间k8s发现这个SSL证书的一年有效期时间的坑还是迈不过去,问题 来了,我们就要去解决

一、环境

CentOS Linux release 7.7.1908 (Core) 5.4.159-1.el7.elrepo.x86_64

kubeadm-1.22.3-0.x86_64
kubelet-1.22.3-0.x86_64
kubectl-1.22.3-0.x86_64
kubernetes-cni-0.8.7-0.x86_64
 

主机名IPVIP
k8s-master01192.168.30.106192.168.30.115
k8s-master02192.168.30.107
k8s-master03192.168.30.108
k8s-node01192.168.30.109
k8s-node02192.168.30.110

二、查看证书有的效期

#下面我们有2种方法可以查看证书有效期

#第一种方法

cd /etc/kubernetes/pki
for i in $(ls *.crt); do echo "===== $i ====="; openssl x509 -in $i -text -noout | grep -A 3 'Validity' ; done

#结果 


===== apiserver-etcd-client.crt =====ValidityNot Before: Nov 18 07:47:20 2021 GMTNot After : Nov 18 07:47:21 2022 GMTSubject: O=system:masters, CN=kube-apiserver-etcd-client
===== apiserver-kubelet-client.crt =====ValidityNot Before: Nov 18 07:47:18 2021 GMTNot After : Nov 18 07:47:19 2022 GMTSubject: O=system:masters, CN=kube-apiserver-kubelet-client
===== apiserver.crt =====ValidityNot Before: Nov 18 07:47:18 2021 GMTNot After : Nov 18 07:47:19 2022 GMTSubject: CN=kube-apiserver
===== ca.crt =====ValidityNot Before: Nov 18 07:47:18 2021 GMTNot After : Nov 16 07:47:18 2031 GMTSubject: CN=kubernetes
===== front-proxy-ca.crt =====ValidityNot Before: Nov 18 07:47:19 2021 GMTNot After : Nov 16 07:47:19 2031 GMTSubject: CN=front-proxy-ca
===== front-proxy-client.crt =====ValidityNot Before: Nov 18 07:47:19 2021 GMTNot After : Nov 18 07:47:20 2022 GMTSubject: CN=front-proxy-client

#第2种方法

kubeadm certs check-expiration

#结果

但是我这个结果的证书时间已经是被更新过了,如果没有更新,看到是1年的有效期,跟上面第一种方法得出的结果是一样的


[check-expiration] Reading configuration from the cluster...
[check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -o yaml'CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
admin.conf                 Dec 20, 2121 08:45 UTC   99y                                     no
apiserver                  Dec 20, 2121 08:45 UTC   99y             ca                      no
apiserver-etcd-client      Dec 20, 2121 08:45 UTC   99y             etcd-ca                 no
apiserver-kubelet-client   Dec 20, 2121 08:45 UTC   99y             ca                      no
controller-manager.conf    Dec 20, 2121 08:45 UTC   99y                                     no
etcd-healthcheck-client    Dec 20, 2121 08:45 UTC   99y             etcd-ca                 no
etcd-peer                  Dec 20, 2121 08:45 UTC   99y             etcd-ca                 no
etcd-server                Dec 20, 2121 08:45 UTC   99y             etcd-ca                 no
front-proxy-client         Dec 20, 2121 08:45 UTC   99y             front-proxy-ca          no
scheduler.conf             Dec 20, 2121 08:45 UTC   99y                                     noCERTIFICATE AUTHORITY   EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
ca                      Nov 16, 2031 07:47 UTC   9y              no
etcd-ca                 Nov 16, 2031 07:47 UTC   9y              no
front-proxy-ca          Nov 16, 2031 07:47 UTC   9y              no

三、证书有效期修改方法

1、部署go环境

#打开Go下载 - Go语言中文网 - Golang中文社区(https://studygolang.com/dl)网站,下载一个最新版的

#在linux执行以下命令,不可以下载

mkdir /opt/data
cd /opt/data
wget  https://studygolang.com/dl/golang/go1.17.6.linux-amd64.tar.gz
tar -xvf go1.17.6.linux-amd64.tar.gz -C /usr/local/

#配置环境变量

echo "export PATH=$PATH:/usr/local/go/bin" >>/etc/profile
source /etc/profile

#验证go环境

go version
go version go1.17.6 linux/amd64

2、Kubernetes源码下载

#首先查看一下k8s的版本,源码要下载跟你当前系统对应的版本,所以我这边下载v1.22.3,就可以

#kubectl version
Client Version: version.Info{Major:"1", Minor:"22", GitVersion:"v1.22.3", GitCommit:"c92036820499fedefec0f847e2054d824aea6cd1", GitTreeState:"clean", BuildDate:"2021-10-27T18:41:28Z", GoVersion:"go1.16.9", Compiler:"gc", Platform:"linux/amd64"}
Server Version: version.Info{Major:"1", Minor:"22", GitVersion:"v1.22.0", GitCommit:"c2b5237ccd9c0f1d600d3072634ca66cefdf272f", GitTreeState:"clean", BuildDate:"2021-08-04T17:57:25Z", GoVersion:"go1.16.6", Compiler:"gc", Platform:"linux/amd64"}

#前提你是要能够上外网,不然github登不上,就无法下载源码了

 #下源代码后,进行解压

cd /opt/data
unzip kubernetes-1.22.3.zip
cd kubernetes-1.22.3

3、修改源代码文件

#证书的有效期是需要修改两个文件constants.go和cert.go

#下面我们先改constants.go

vim ./cmd/kubeadm/app/constants/constants.go

#vim 下查找CertificateValidity  字段

const (// KubernetesDir is the directory Kubernetes owns for storing various configuration filesKubernetesDir = "/etc/kubernetes"// ManifestsSubDirName defines directory name to store manifestsManifestsSubDirName = "manifests"// TempDirForKubeadm defines temporary directory for kubeadm// should be joined with KubernetesDir.TempDirForKubeadm = "tmp"// CertificateValidity defines the validity for all the signed certificates generated by kubeadm//CertificateValidity = time.Hour * 24 * 365   //默认是1年CertificateValidity = time.Hour * 24 * 365 * 100  //改为100年// CACertAndKeyBaseName defines certificate authority base nameCACertAndKeyBaseName = "ca"// CACertName defines certificate nameCACertName = "ca.crt"// CAKeyName defines certificate nameCAKeyName = "ca.key"// APIServerCertAndKeyBaseName defines API's server certificate and key base nameAPIServerCertAndKeyBaseName = "apiserver"// APIServerCertName defines API's server certificate nameAPIServerCertName = "apiserver.crt"// APIServerKeyName defines API's server key nameAPIServerKeyName = "apiserver.key"// APIServerCertCommonName defines API's server certificate common name (CN)APIServerCertCommonName = "kube-apiserver"

#修改cert.go文件 

cd /opt/data/kubernetes-1.22.3]
vim staging/src/k8s.io/client-go/util/cert/cert.go 

// NewSelfSignedCACert creates a CA certificate
func NewSelfSignedCACert(cfg Config, key crypto.Signer) (*x509.Certificate, error) {now := time.Now()tmpl := x509.Certificate{SerialNumber: new(big.Int).SetInt64(0),Subject: pkix.Name{CommonName:   cfg.CommonName,Organization: cfg.Organization,},DNSNames:              []string{cfg.CommonName},NotBefore:             now.UTC(),//NotAfter:              now.Add(duration365d * 10).UTC(), //默认是10年NotAfter:              now.Add(duration365d * 100).UTC(),  //也改为100年KeyUsage:              x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature | x509.KeyUsageCertSign,BasicConstraintsValid: true,IsCA:                  true,}certDERBytes, err := x509.CreateCertificate(cryptorand.Reader, &tmpl, &tmpl, key.Public(), key)if err != nil {return nil, err}return x509.ParseCertificate(certDERBytes)
}

#编译源代码文件

cd /opt/data/kubernetes-1.22.3
make WHAT=cmd/kubeadm GOFLAGS=-v

#编译完后查看结果,就可以看到生成的kubeadm二进文件

# ls -l /opt/data/kubernetes-1.22.3/_output/bin/
total 76268
-rwxr-xr-x 1 root root  5885952 Jan 13 16:03 conversion-gen
-rwxr-xr-x 1 root root  5607424 Jan 13 16:02 deepcopy-gen
-rwxr-xr-x 1 root root  5627904 Jan 13 16:02 defaulter-gen
-rwxr-xr-x 1 root root  3376703 Jan 13 16:02 go2make
-rwxr-xr-x 1 root root 43917312 Jan 13 16:38 kubeadm
-rwxr-xr-x 1 root root  8097792 Jan 13 16:04 openapi-gen
-rwxr-xr-x 1 root root  5582848 Jan 13 16:02 prerelease-lifecycle-gen

#下面准备把新的kubeadm替换旧的,所以需要把旧的备份一下,记住3台master都需要备份一下

cp /usr/bin/kubeadm /usr/bin/kubeadm.20220113

#替换 

cp /opt/data/kubernetes-1.22.3/_output/bin/kubeadm /usr/bin/

#备份旧的证书文件,记住3台master都需要备份一下

cd /etc/kubernetes
cp -R pki pki.20220113

4、证书更新

#执行

kubeadm certs renew all

#结果 ,结果告诉你,需要重启那些服务,证书才生效


[renew] Reading configuration from the cluster...
[renew] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -o yaml'certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself renewed
certificate for serving the Kubernetes API renewed
certificate the apiserver uses to access etcd renewed
certificate for the API server to connect to kubelet renewed
certificate embedded in the kubeconfig file for the controller manager to use renewed
certificate for liveness probes to healthcheck etcd renewed
certificate for etcd nodes to communicate with each other renewed
certificate for serving etcd renewed
certificate for the front proxy client renewed
certificate embedded in the kubeconfig file for the scheduler manager to use renewedDone renewing certificates. You must restart the kube-apiserver, kube-controller-manager, kube-scheduler and etcd, so that they can use the new certificates.

#我这里采用是直接重启这台master服务器

#重启后查看新的证书,看结果除了ca以外的证书都变100年了,因为我这里没有改cert.go文件,因为我看到是10年,就不动了,大家如果想改也可以一起改为100年

kubeadm certs check-expiration
# kubeadm certs check-expiration
[check-expiration] Reading configuration from the cluster...
[check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -o yaml'CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
admin.conf                 Dec 20, 2121 08:45 UTC   99y                                     no
apiserver                  Dec 20, 2121 08:45 UTC   99y             ca                      no
apiserver-etcd-client      Dec 20, 2121 08:45 UTC   99y             etcd-ca                 no
apiserver-kubelet-client   Dec 20, 2121 08:45 UTC   99y             ca                      no
controller-manager.conf    Dec 20, 2121 08:45 UTC   99y                                     no
etcd-healthcheck-client    Dec 20, 2121 08:45 UTC   99y             etcd-ca                 no
etcd-peer                  Dec 20, 2121 08:45 UTC   99y             etcd-ca                 no
etcd-server                Dec 20, 2121 08:45 UTC   99y             etcd-ca                 no
front-proxy-client         Dec 20, 2121 08:45 UTC   99y             front-proxy-ca          no
scheduler.conf             Dec 20, 2121 08:45 UTC   99y                                     noCERTIFICATE AUTHORITY   EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
ca                      Nov 16, 2031 07:47 UTC   9y              no
etcd-ca                 Nov 16, 2031 07:47 UTC   9y              no
front-proxy-ca          Nov 16, 2031 07:47 UTC   9y              no

#同理另外2台的master,只需要把kubeadm文件,从第一台更新过的scp过去,然后按上面步骤,重新生成新的证书文件就可以了。记住更新过需要重启一下服务或者服务器。

这篇关于Kubernetes(k8s)-v1.22.3版本证书有效期修改的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/747366

相关文章

Android实现任意版本设置默认的锁屏壁纸和桌面壁纸(两张壁纸可不一致)

客户有些需求需要设置默认壁纸和锁屏壁纸  在默认情况下 这两个壁纸是相同的  如果需要默认的锁屏壁纸和桌面壁纸不一样 需要额外修改 Android13实现 替换默认桌面壁纸: 将图片文件替换frameworks/base/core/res/res/drawable-nodpi/default_wallpaper.*  (注意不能是bmp格式) 替换默认锁屏壁纸: 将图片资源放入vendo

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略 1. 特权模式限制2. 宿主机资源隔离3. 用户和组管理4. 权限提升控制5. SELinux配置 💖The Begin💖点点关注,收藏不迷路💖 Kubernetes的PodSecurityPolicy(PSP)是一个关键的安全特性,它在Pod创建之前实施安全策略,确保P

软考系统规划与管理师考试证书含金量高吗?

2024年软考系统规划与管理师考试报名时间节点: 报名时间:2024年上半年软考将于3月中旬陆续开始报名 考试时间:上半年5月25日到28日,下半年11月9日到12日 分数线:所有科目成绩均须达到45分以上(包括45分)方可通过考试 成绩查询:可在“中国计算机技术职业资格网”上查询软考成绩 出成绩时间:预计在11月左右 证书领取时间:一般在考试成绩公布后3~4个月,各地领取时间有所不同

90、k8s之secret+configMap

一、secret配置管理 配置管理: 加密配置:保存密码,token,其他敏感信息的k8s资源 应用配置:我们需要定制化的给应用进行配置,我们需要把定制好的配置文件同步到pod当中容器 1.1、加密配置: secret: [root@master01 ~]# kubectl get secrets ##查看加密配置[root@master01 ~]# kubectl get se

K8S(Kubernetes)开源的容器编排平台安装步骤详解

K8S(Kubernetes)是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。以下是K8S容器编排平台的安装步骤、使用方式及特点的概述: 安装步骤: 安装Docker:K8S需要基于Docker来运行容器化应用程序。首先要在所有节点上安装Docker引擎。 安装Kubernetes Master:在集群中选择一台主机作为Master节点,安装K8S的控制平面组件,如AP

什么是Kubernetes PodSecurityPolicy?

@TOC 💖The Begin💖点点关注,收藏不迷路💖 1、什么是PodSecurityPolicy? PodSecurityPolicy(PSP)是Kubernetes中的一个安全特性,用于在Pod创建前进行安全策略检查,限制Pod的资源使用、运行权限等,提升集群安全性。 2、为什么需要它? 默认情况下,Kubernetes允许用户自由创建Pod,可能带来安全风险。

两个月冲刺软考——访问位与修改位的题型(淘汰哪一页);内聚的类型;关于码制的知识点;地址映射的相关内容

1.访问位与修改位的题型(淘汰哪一页) 访问位:为1时表示在内存期间被访问过,为0时表示未被访问;修改位:为1时表示该页面自从被装入内存后被修改过,为0时表示未修改过。 置换页面时,最先置换访问位和修改位为00的,其次是01(没被访问但被修改过)的,之后是10(被访问了但没被修改过),最后是11。 2.内聚的类型 功能内聚:完成一个单一功能,各个部分协同工作,缺一不可。 顺序内聚:

容器编排平台Kubernetes简介

目录 什么是K8s 为什么需要K8s 什么是容器(Contianer) K8s能做什么? K8s的架构原理  控制平面(Control plane)         kube-apiserver         etcd         kube-scheduler         kube-controller-manager         cloud-controlle

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟

如何在运行时修改serialVersionUID

优质博文:IT-BLOG-CN 问题 我正在使用第三方库连接到外部系统,一切运行正常,但突然出现序列化错误 java.io.InvalidClassException: com.essbase.api.base.EssException; local class incompatible: stream classdesc serialVersionUID = 90314637791991