附025.kubeadm部署Kubernetes更新證書

来源:https://www.cnblogs.com/itzgr/archive/2020/07/24/13370185.html
-Advertisement-
Play Games

一 查看證書 1.1 查看過期時間-方式一 1 [[email protected] ~]# tree /etc/kubernetes/pki/ 2 [[email protected] ~]# for tls in `find /etc/kubernetes/pki -maxdepth 2 -name "*.cr ...


一 查看證書

1.1 查看過期時間-方式一

  1 [[email protected] ~]# tree /etc/kubernetes/pki/
  2 [[email protected] ~]# for tls in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`; \
  3 do echo ===============$tls===============; \
  4 openssl x509 -in $tls -text| grep Not; \
  5 done
  clipboard

1.1 查看過期時間-方式二

  1 [[email protected] ~]# tree /etc/kubernetes/pki/
clipboard
  1 [[email protected] ~]# kubeadm alpha certs check-expiration
clipboard 提示:由上可知,根證書有效期為10年,其他所有證書有效期為1年。

二 證書類別

2.1 集群根證書

  1 [[email protected] ~]# ll /etc/kubernetes/pki/ca*
  2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/ca.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/ca.key
  由此集群根證書簽發的證書有:
  1. kube-apiserver 組件持有的服務端證書
  1 [[email protected] ~]# ll /etc/kubernetes/pki/apiserver.*
  2 -rw-r--r-- 1 root root 1.3K Jun 15 21:08 /etc/kubernetes/pki/apiserver.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/apiserver.key
 
  1. kubelet 組件持有的客戶端證書
  1 [[email protected] ~]# ll /etc/kubernetes/pki/apiserver-kubelet-client.*
  2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/apiserver-kubelet-client.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/apiserver-kubelet-client.key
  提示:kubelet的/var/lib/kubelet/config.yaml配置文件中一般不會明確指定服務端證書,而是只指定 ca 根證書, 讓 kubelet 根據本地主機信息自動生成服務端證書並保存到配置的cert-dir文件夾中。

2.2 匯聚層證書

  1 [[email protected] ~]# ll /etc/kubernetes/pki/front-proxy-ca.*
  2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/front-proxy-ca.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/front-proxy-ca.key
  由此匯聚層根證書簽發的證書有:
  1 [[email protected] ~]# ll /etc/kubernetes/pki/front-proxy-client.*
  2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/front-proxy-client.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/front-proxy-client.key
 

2.3 etcd集群根證書

  1 [[email protected] ~]# ll /etc/kubernetes/pki/etcd/ca.*
  2 -rw-r--r-- 1 root root 1017 Jun 15 21:08 /etc/kubernetes/pki/etcd/ca.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/etcd/ca.key
  由此etcd根證書簽發的證書有:
  1. etcd server服務端證書
  1 [[email protected] ~]# ll /etc/kubernetes/pki/etcd/server.*
  2 -rw-r--r-- 1 root root 1.2K Jun 15 21:08 /etc/kubernetes/pki/etcd/server.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/etcd/server.key
 
  1. etcd 集群中peer節點互相通信使用的客戶端證書
  1 [[email protected] ~]# ll /etc/kubernetes/pki/etcd/peer.*
  2 -rw-r--r-- 1 root root 1.2K Jun 15 21:08 /etc/kubernetes/pki/etcd/peer.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/etcd/peer.key
 
  1. pod 中定義 Liveness 探針使用的客戶端證書
  1 [[email protected] ~]# ll /etc/kubernetes/pki/etcd/healthcheck-client.*
  2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/etcd/healthcheck-client.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/etcd/healthcheck-client.key
 
  1. 配置在 kube-apiserver 中用來與 etcd server 做雙向認證的客戶端證書
  1 [[email protected] ~]# ll /etc/kubernetes/pki/apiserver-etcd-client.*
  2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/apiserver-etcd-client.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/apiserver-etcd-client.key
 

2.4 Serveice Account密鑰

  1 [[email protected] ~]# ll /etc/kubernetes/pki/sa.*
  2 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/sa.key
  3 -rw------- 1 root root  451 Jun 15 21:08 /etc/kubernetes/pki/sa.pub
    Serveice Account密鑰對僅提供給 kube-controller-manager 使用. kube-controller-manager 通過 sa.key 對 token 進行簽名, master 節點通過公鑰 sa.pub 進行簽名的驗證。 延伸:API Server身份驗證過程: API Server的authenticating環節支持多種身份校驗方式:client cert、bearer token、static password auth等,這些方式中只要有一種方式通過authenticating(Kubernetes API Server會逐個方式嘗試),那麼身份校驗就會通過。 一旦API Server發現client發起的request使用的是service account token的方式,API Server就會自動採用signed bearer token方式進行身份校驗。而request則使用攜帶的service account token參與驗證。該token是API Server在創建service account時用API server啟動參數:–service-account-key-file的值簽署(sign)生成的。如果–service-account-key-file未傳入任何值,那麼將預設使用–tls-private-key-file的值,即API Server的私鑰(server.key)。 通過authenticating後,API Server將根據Pod username所在的group:system:serviceaccounts和system:serviceaccounts:(NAMESPACE)的許可權對其進行authority 和admission control兩個環節的處理。在這兩個環節中,cluster管理員可以對service account的許可權進行細化設置。   kubeadm 創建的集群,kube-proxy、flannel、coreDNS是以 pod 形式運行的,在 pod 中,直接使用 service account 與 kube-apiserver 進行認證,此時就不需要再單獨為 kube-proxy 創建證書。

三 更新證書方法一

提示:此方式採用kubeadm預設延期1年時間的策略,若要自定義更長時間,如100年,參考開步驟四。

3.1 備份集群配置

  1 [[email protected] ~]# kubeadm config view > kubeadm-cluster.yaml
clipboard

3.2 更新證書

  1 [[email protected] ~]# kubeadm alpha certs renew --help		#查看幫助
clipboard 提示:由help可知,證書更新可針對單個證書更新。
  1 [[email protected] ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml	#更新所有證書
clipboard
  1 [[email protected] ~]# kubeadm alpha certs check-expiration		#確認驗證
clipboard
  1 [[email protected] ~]# scp -rp kubeadm-cluster.yaml [email protected]:/root/
  2 [[email protected] ~]# scp -rp kubeadm-cluster.yaml [email protected]:/root/
  3 [[email protected] ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml
  4 [[email protected] ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml
  提示:更新操作需要在所有master節點執行。

3.3 啟用證書

在三台Master上執行重啟kube-apiserver、kube-controller、kube-scheduler、etcd這4個容器,以便使證書生效。  
  1 [[email protected] ~]# docker ps |grep -E 'k8s_kube-apiserver|k8s_kube-controller-manager|k8s_kube-scheduler|k8s_etcd_etcd' | awk -F ' ' '{print $1}' |xargs docker restart
  2 [[email protected] ~]# docker ps |grep -E 'k8s_kube-apiserver|k8s_kube-controller-manager|k8s_kube-scheduler|k8s_etcd_etcd' | awk -F ' ' '{print $1}' |xargs docker restart
  3 [[email protected] ~]# docker ps |grep -E 'k8s_kube-apiserver|k8s_kube-controller-manager|k8s_kube-scheduler|k8s_etcd_etcd' | awk -F ' ' '{print $1}' |xargs docker restart
提示:啟用操作需要在所有master節點執行。

四 更新證書方法二

提示:此方式採用編譯kubeadm源碼,源碼中自定義證書時間,如100年。

4.1 備份集群配置

  1 [[email protected] ~]# kubeadm config view > kubeadm-cluster.yaml

4.2 查看當前版本

  1 [[email protected] ~]# kubectl version
clipboard

4.3 獲取源碼

  1 [[email protected] ~]# wget https://github.com/kubernetes/kubernetes/archive/v1.18.3.tar.gz
  2 [[email protected] ~]# tar -zxvf v1.18.3.tar.gz
  3 
 

4.4 修改CA證書時間

  1 [[email protected] ~]# vi kubernetes-1.18.3/staging/src/k8s.io/client-go/util/cert/cert.go
  2 ……
  3  57 func NewSelfSignedCACert(cfg Config, key crypto.Signer) (*x509.Certificate, error) {
  4 ……
  5  65         NotBefore:             now.UTC(),
  6  66         NotAfter:              now.Add(duration365d * 100).UTC(),
  7 ……
  提示:ca證書最大時間限定為100年,若要將最大時限也延長,可在cert.go中修改如下maxAge值: maxAge := time.Hour * 24 * 365 * 10

4.5 修改其他證書時間

  1 [[email protected] ~]# vi kubernetes-1.18.3/cmd/kubeadm/app/constants/constants.go
  2 ……
  3  39 const (
  4  48     // CertificateValidity defines the validity for all the signed certificates generated by kubeadm
  5  49     CertificateValidity = time.Hour * 24 * 365 * 100
  6 ……
  7 [[email protected] kubernetes-1.18.3]# cat build/build-image/cross/VERSION
  8 v1.13.9-5					#使用官方corss版本
 

4.6 編譯kubeadm方式一

  1 [[email protected] kubernetes-1.18.3]# docker pull us.gcr.io/k8s-artifacts-prod/build-image/kube-cross:v1.13.9-5
  2 [[email protected] ~]# docker run --rm -v /root/kubernetes-1.18.3/:/go/src/k8s.io/kubernetes -it us.gcr.io/k8s-artifacts-prod/build-image/kube-cross:v1.13.9-5 bash
  3 [email protected]:/go# cd /go/src/k8s.io/kubernetes
  4 [email protected]:/go/src/k8s.io/kubernetes# make all WHAT=cmd/kubeadm GOFLAGS=-v
  提示:若要編譯其他命令,可參考如下: # 編譯kubelet # make all WHAT=cmd/kubelet GOFLAGS=-v # 編譯kubectl # make all WHAT=cmd/kubectl GOFLAGS=-v   #編譯完命令在 _output/bin/kubeadm 目錄下, #其中bin是使用了軟連接 #真實路徑是_output/local/bin/linux/amd64/kubeadm
  1 [email protected]:/go/src/k8s.io/kubernetes# exit			#退出容器
  2 [[email protected] ~]# mv /usr/bin/kubeadm /usr/bin/kubeadm_backup	#備份原kubeadm
  3 [[email protected] ~]# cp kubernetes-1.18.3/_output/local/bin/linux/amd64/kubeadm /usr/bin/kubeadm
  4 [[email protected] ~]# kubeadm version		                        #查看版本
 

4.7 編譯kubeadm方式二

  1 [[email protected] ~]# yum -y install gcc make rsync jq
  2 [[email protected] ~]# wget https://dl.google.com/go/go1.13.9.linux-amd64.tar.gz
  3 [[email protected] ~]# tar zxvf go1.13.9.linux-amd64.tar.gz -C /usr/local/
  4 [[email protected] ~]# vi /etc/profile.d/goenv.sh
  5 #go setting
  6 export GOROOT=/usr/local/go
  7 export GOPATH=/usr/local/gopath
  8 export PATH=$PATH:$GOROOT/bin
  9 [[email protected] ~]# source /etc/profile
 10 [[email protected] ~]# go version
 11 go version go1.13.9 linux/amd64
 12 [[email protected] ~]# cd kubernetes-1.18.3/
 13 [[email protected] kubernetes-1.18.3]# make all WHAT=cmd/kubeadm GOFLAGS=-v
 14 [[email protected] kubernetes-1.18.3]# mv /usr/bin/kubeadm /usr/bin/kubeadm_backup	#備份原kubeadm
 15 [[email protected] kubernetes-1.18.3]# cp _output/local/bin/linux/amd64/kubeadm /usr/bin/kubeadm
 

4.8 備份集群配置

  1 [[email protected] ~]# kubeadm config view > kubeadm-cluster.yaml

4.8 更新證書

  1 [[email protected] ~]# ssh [email protected] "mv /usr/bin/kubeadm /usr/bin/kubeadm_backup"
  2 [[email protected] ~]# ssh [email protected] "mv /usr/bin/kubeadm /usr/bin/kubeadm_backup"
  3 [[email protected] ~]# scp -rp kubeadm-cluster.yaml [email protected]:/root/
  4 [[email protected] ~]# scp -rp kubeadm-cluster.yaml [email protected]:/root/
  5 [[email protected] ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml
  6 [[email protected] ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml
  7 [[email protected] ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml
  8 [[email protected] ~]# kubeadm alpha certs check-expiration		#確認驗證
  clipboard 提示:更新操作需要在所有master節點執行。 所有根證書:ca、etcd-ca、front-proxy-ca只有在init初始化的時候才會更新時間,因此建議對於kubeadm部署Kubernetes,可以在初始化之前使用編譯的方式將證書設置為更長時間,如100年。 clipboard

4.9 啟用證書

在三台Master上執行重啟kube-apiserver、kube-controller、kube-scheduler、etcd這4個容器,以便使證書生效。 參考3.3即可。
您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 一直不怎麼喜歡IIS,就一個簡單的服務,要安裝IIS,然後各種配置,雖然可以用程式一鍵搭建IIS環境和啟動服務,但是也麻煩的很。 之前接觸過一段Java,覺得Tomcat挺方便,一拷貝點擊運行就Ok。後來看到官網 WebAPI2使用OWIN自托管控制台啟動, 測試一下挺正常的,項目也採用這種方式部署 ...
  • 目錄 一、目的 二、準備 2.1 硬體 2.2 軟體 2.3 網路 結果 三、過程 3.1 鏡像製作 1.選擇鏡像 2. 製作啟動盤 3.2 安裝系統 1. 換源 2. 配置SSH 3. 設置靜態IP 4. 宿主機配置 5. 查看網卡 6. 修改配置文件 6.1 修改 6.2 新增 7. 重啟網路 ...
  • 痞子衡這幾天在支持一個i.MXRT1050客戶項目,客戶遇到了軟複位無法從32MB NOR Flash重新啟動的問題。這個客戶是做醫療設備的,已經基於i.MXRT做出一款成功的產品了,所以客戶其實有豐富的i.MXRT使用經驗。目前調試的項目是客戶的第二款產品,這個軟複位無法啟動問題已經困擾他們很久,... ...
  • 大家都知道,當我們的 Linux 系統電腦出現問題時,需要對其排除故障,首先需要做的是找出電腦的硬體信息。下麵介紹一個簡單易用的應用程式——HardInfo,你可以利用它來顯示你電腦的每個硬體方面的信息,它的好處就是不必去拆分電腦單獨查看每個部件。 安裝HardInfo工具 有的小伙伴會問如何去 ...
  • 最近,使用ubuntu 發現預設不能使用 x11轉發。配置修改如下: sudo vim /etc/ssh/sshd_config:修改服務端的sshd X11Forwarding yes sudo systemctl restart sshd.service sudo vim /etc/ssh/ss ...
  • 最近出現的許多記憶體問題都以3D Xpoint的形式出現在ReRAM,MRAM和PCRAM上。但是鐵電RAM(FRAM)在小型利基設備中得到了成功。去年對新興記憶體年報,吹捧的ReRAM,MRAM和PCRAM的三個關鍵新興的記憶保持在眼睛上。但它也指出,FRAM已在諸如大眾運輸卡,游戲系統和功率計之類的 ...
  • ​Nginx 是一個很強大的高性能Web和反向代理服務,它具有很多非常優越的特性,在連接高併發的情況下,Nginx是Apache服務不錯的替代品。其特點是占有記憶體少,併發能力強,事實上nginx的併發能力在同類型的網頁伺服器中表現較好,因此國內知名大廠例如:淘寶,京東,百度,新浪,網易,騰訊等等都在 ...
  • 1、下載https://github.com/alibaba/nacos/releases nacos-server-1.3.1.tar.gz 源碼包2、上傳到liunx伺服器 /usr/local下3、 解壓tar -zxvf nacos-server-1.3.1.tar.gz4、進入解壓後的na ...
一周排行
    -Advertisement-
    Play Games
  • 1.部署歷史 猿友們好,作為初來實習的我,已經遭受社會的“毒打”,所以請容許我在下麵環節適當吐槽,3Q! 傳統部署 ​ 回顧以往在伺服器部署webapi項目(非獨立發佈),dotnet環境、守護進程兩個逃都逃不掉,正常情況下還得來個nginx代理。不僅僅這仨,可能牽扯到yum或npm。node等都要 ...
  • 隨著技術的進步,跨平臺開發已經成為了標配,在此大背景下,ASP.NET Core也應運而生。本文主要基於ASP.NET Core+Element+Sql Server開發一個校園圖書管理系統為例,簡述基於MVC三層架構開發的常見知識點,前一篇文章,已經簡單介紹瞭如何搭建開發框架,和登錄功能實現,本篇... ...
  • 這道題只要會自定義cmp恰當地進行排序,其他部分沒有什麼大問題。 上代碼: 1 #include<bits/stdc++.h> 2 using namespace std; 3 int n,s,h1,h2,cnt; 4 struct apple{ 5 int height,ns;//height為蘋 ...
  • 這篇文章主要描述RPC的路由策略,包括為什麼需要請求隔離,為什麼不在註冊中心中實現請求隔離以及不同粒度的路由策略。 ...
  • 簡介: 中介者模式,屬於行為型的設計模式。用一個中介對象來封裝一系列的對象交互。中介者是各對象不需要顯式地相互引用,從而使其耦合鬆散,而且可以獨立地改變他們之間的交互。 適用場景: 如果平行對象間的依賴複雜,可以使用中介者解耦。 優點: 符合迪米特法則,減少成員間的依賴。 缺點: 不適用於系統出現對 ...
  • 【前置內容】Spring 學習筆記全系列傳送門: Spring學習筆記 - 第一章 - IoC(控制反轉)、IoC容器、Bean的實例化與生命周期、DI(依賴註入) Spring學習筆記 - 第二章 - 註解開發、配置管理第三方Bean、註解管理第三方Bean、Spring 整合 MyBatis 和 ...
  • 簡介: 享元模式,屬於結構型的設計模式。運用共用技術有效地支持大量細粒度的對象。 適用場景: 具有相同抽象但是細節不同的場景中。 優點: 把公共的部分分離為抽象,細節依賴於抽象,符合依賴倒轉原則。 缺點: 增加複雜性。 代碼: //用戶類 class User { private $name; fu ...
  • 這次設計一個通用的多位元組SPI介面模塊,特點如下: 可以設置為1-128位元組的SPI通信模塊 可以修改CPOL、CPHA來進行不同的通信模式 可以設置輸出的時鐘 狀態轉移圖和思路與多位元組串口發送模塊一樣,這裡就不給出了,具體可看該隨筆。 一、模塊代碼 1、需要的模塊 通用8位SPI介面模塊 `tim ...
  • AOP-03 7.AOP-切入表達式 7.1切入表達式的具體使用 1.切入表達式的作用: 通過表達式的方式定義一個或多個具體的連接點。 2.語法細節: (1)切入表達式的語法格式: execution([許可權修飾符] [返回值類型] [簡單類名/全類名] [方法名]([參數列表]) 若目標類、介面與 ...
  • 測試一、虛繼承與繼承的區別 1.1 單個繼承,不帶虛函數 1>class B size(8): 1> + 1> 0 | + (base class A) 1> 0 | | _ia //4B 1> | + 1> 4 | _ib //4B 有兩個int類型數據成員,占8B,基類邏輯存在前面 1.2、單個 ...