附025.kubeadm部署Kubernetes更新證書

来源:https://www.cnblogs.com/itzgr/archive/2020/07/24/13370185.html
-Advertisement-
Play Games

一 查看證書 1.1 查看過期時間-方式一 1 [root@master01 ~]# tree /etc/kubernetes/pki/ 2 [root@master01 ~]# for tls in `find /etc/kubernetes/pki -maxdepth 2 -name "*.cr ...


一 查看證書

1.1 查看過期時間-方式一

  1 [root@master01 ~]# tree /etc/kubernetes/pki/
  2 [root@master01 ~]# for tls in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`; \
  3 do echo ===============$tls===============; \
  4 openssl x509 -in $tls -text| grep Not; \
  5 done
  clipboard

1.1 查看過期時間-方式二

  1 [root@master01 ~]# tree /etc/kubernetes/pki/
clipboard
  1 [root@master01 ~]# kubeadm alpha certs check-expiration
clipboard 提示:由上可知,根證書有效期為10年,其他所有證書有效期為1年。

二 證書類別

2.1 集群根證書

  1 [root@master01 ~]# ll /etc/kubernetes/pki/ca*
  2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/ca.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/ca.key
  由此集群根證書簽發的證書有:
  1. kube-apiserver 組件持有的服務端證書
  1 [root@master01 ~]# ll /etc/kubernetes/pki/apiserver.*
  2 -rw-r--r-- 1 root root 1.3K Jun 15 21:08 /etc/kubernetes/pki/apiserver.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/apiserver.key
 
  1. kubelet 組件持有的客戶端證書
  1 [root@master01 ~]# ll /etc/kubernetes/pki/apiserver-kubelet-client.*
  2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/apiserver-kubelet-client.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/apiserver-kubelet-client.key
  提示:kubelet的/var/lib/kubelet/config.yaml配置文件中一般不會明確指定服務端證書,而是只指定 ca 根證書, 讓 kubelet 根據本地主機信息自動生成服務端證書並保存到配置的cert-dir文件夾中。

2.2 匯聚層證書

  1 [root@master01 ~]# ll /etc/kubernetes/pki/front-proxy-ca.*
  2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/front-proxy-ca.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/front-proxy-ca.key
  由此匯聚層根證書簽發的證書有:
  1 [root@master01 ~]# ll /etc/kubernetes/pki/front-proxy-client.*
  2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/front-proxy-client.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/front-proxy-client.key
 

2.3 etcd集群根證書

  1 [root@master01 ~]# ll /etc/kubernetes/pki/etcd/ca.*
  2 -rw-r--r-- 1 root root 1017 Jun 15 21:08 /etc/kubernetes/pki/etcd/ca.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/etcd/ca.key
  由此etcd根證書簽發的證書有:
  1. etcd server服務端證書
  1 [root@master01 ~]# ll /etc/kubernetes/pki/etcd/server.*
  2 -rw-r--r-- 1 root root 1.2K Jun 15 21:08 /etc/kubernetes/pki/etcd/server.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/etcd/server.key
 
  1. etcd 集群中peer節點互相通信使用的客戶端證書
  1 [root@master01 ~]# ll /etc/kubernetes/pki/etcd/peer.*
  2 -rw-r--r-- 1 root root 1.2K Jun 15 21:08 /etc/kubernetes/pki/etcd/peer.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/etcd/peer.key
 
  1. pod 中定義 Liveness 探針使用的客戶端證書
  1 [root@master01 ~]# ll /etc/kubernetes/pki/etcd/healthcheck-client.*
  2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/etcd/healthcheck-client.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/etcd/healthcheck-client.key
 
  1. 配置在 kube-apiserver 中用來與 etcd server 做雙向認證的客戶端證書
  1 [root@master01 ~]# ll /etc/kubernetes/pki/apiserver-etcd-client.*
  2 -rw-r--r-- 1 root root 1.1K Jun 15 21:08 /etc/kubernetes/pki/apiserver-etcd-client.crt
  3 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/apiserver-etcd-client.key
 

2.4 Serveice Account密鑰

  1 [root@master01 ~]# ll /etc/kubernetes/pki/sa.*
  2 -rw------- 1 root root 1.7K Jun 15 21:08 /etc/kubernetes/pki/sa.key
  3 -rw------- 1 root root  451 Jun 15 21:08 /etc/kubernetes/pki/sa.pub
    Serveice Account密鑰對僅提供給 kube-controller-manager 使用. kube-controller-manager 通過 sa.key 對 token 進行簽名, master 節點通過公鑰 sa.pub 進行簽名的驗證。 延伸:API Server身份驗證過程: API Server的authenticating環節支持多種身份校驗方式:client cert、bearer token、static password auth等,這些方式中只要有一種方式通過authenticating(Kubernetes API Server會逐個方式嘗試),那麼身份校驗就會通過。 一旦API Server發現client發起的request使用的是service account token的方式,API Server就會自動採用signed bearer token方式進行身份校驗。而request則使用攜帶的service account token參與驗證。該token是API Server在創建service account時用API server啟動參數:–service-account-key-file的值簽署(sign)生成的。如果–service-account-key-file未傳入任何值,那麼將預設使用–tls-private-key-file的值,即API Server的私鑰(server.key)。 通過authenticating後,API Server將根據Pod username所在的group:system:serviceaccounts和system:serviceaccounts:(NAMESPACE)的許可權對其進行authority 和admission control兩個環節的處理。在這兩個環節中,cluster管理員可以對service account的許可權進行細化設置。   kubeadm 創建的集群,kube-proxy、flannel、coreDNS是以 pod 形式運行的,在 pod 中,直接使用 service account 與 kube-apiserver 進行認證,此時就不需要再單獨為 kube-proxy 創建證書。

三 更新證書方法一

提示:此方式採用kubeadm預設延期1年時間的策略,若要自定義更長時間,如100年,參考開步驟四。

3.1 備份集群配置

  1 [root@master01 ~]# kubeadm config view > kubeadm-cluster.yaml
clipboard

3.2 更新證書

  1 [root@master01 ~]# kubeadm alpha certs renew --help		#查看幫助
clipboard 提示:由help可知,證書更新可針對單個證書更新。
  1 [root@master01 ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml	#更新所有證書
clipboard
  1 [root@master01 ~]# kubeadm alpha certs check-expiration		#確認驗證
clipboard
  1 [root@master01 ~]# scp -rp kubeadm-cluster.yaml root@master02:/root/
  2 [root@master01 ~]# scp -rp kubeadm-cluster.yaml root@master03:/root/
  3 [root@master02 ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml
  4 [root@master03 ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml
  提示:更新操作需要在所有master節點執行。

3.3 啟用證書

在三台Master上執行重啟kube-apiserver、kube-controller、kube-scheduler、etcd這4個容器,以便使證書生效。  
  1 [root@master01 ~]# docker ps |grep -E 'k8s_kube-apiserver|k8s_kube-controller-manager|k8s_kube-scheduler|k8s_etcd_etcd' | awk -F ' ' '{print $1}' |xargs docker restart
  2 [root@master02 ~]# docker ps |grep -E 'k8s_kube-apiserver|k8s_kube-controller-manager|k8s_kube-scheduler|k8s_etcd_etcd' | awk -F ' ' '{print $1}' |xargs docker restart
  3 [root@master03 ~]# docker ps |grep -E 'k8s_kube-apiserver|k8s_kube-controller-manager|k8s_kube-scheduler|k8s_etcd_etcd' | awk -F ' ' '{print $1}' |xargs docker restart
提示:啟用操作需要在所有master節點執行。

四 更新證書方法二

提示:此方式採用編譯kubeadm源碼,源碼中自定義證書時間,如100年。

4.1 備份集群配置

  1 [root@master01 ~]# kubeadm config view > kubeadm-cluster.yaml

4.2 查看當前版本

  1 [root@master01 ~]# kubectl version
clipboard

4.3 獲取源碼

  1 [root@master01 ~]# wget https://github.com/kubernetes/kubernetes/archive/v1.18.3.tar.gz
  2 [root@master01 ~]# tar -zxvf v1.18.3.tar.gz
  3 
 

4.4 修改CA證書時間

  1 [root@master01 ~]# vi kubernetes-1.18.3/staging/src/k8s.io/client-go/util/cert/cert.go
  2 ……
  3  57 func NewSelfSignedCACert(cfg Config, key crypto.Signer) (*x509.Certificate, error) {
  4 ……
  5  65         NotBefore:             now.UTC(),
  6  66         NotAfter:              now.Add(duration365d * 100).UTC(),
  7 ……
  提示:ca證書最大時間限定為100年,若要將最大時限也延長,可在cert.go中修改如下maxAge值: maxAge := time.Hour * 24 * 365 * 10

4.5 修改其他證書時間

  1 [root@master01 ~]# vi kubernetes-1.18.3/cmd/kubeadm/app/constants/constants.go
  2 ……
  3  39 const (
  4  48     // CertificateValidity defines the validity for all the signed certificates generated by kubeadm
  5  49     CertificateValidity = time.Hour * 24 * 365 * 100
  6 ……
  7 [root@master01 kubernetes-1.18.3]# cat build/build-image/cross/VERSION
  8 v1.13.9-5					#使用官方corss版本
 

4.6 編譯kubeadm方式一

  1 [root@master01 kubernetes-1.18.3]# docker pull us.gcr.io/k8s-artifacts-prod/build-image/kube-cross:v1.13.9-5
  2 [root@master01 ~]# docker run --rm -v /root/kubernetes-1.18.3/:/go/src/k8s.io/kubernetes -it us.gcr.io/k8s-artifacts-prod/build-image/kube-cross:v1.13.9-5 bash
  3 root@51e96585ea73:/go# cd /go/src/k8s.io/kubernetes
  4 root@51e96585ea73:/go/src/k8s.io/kubernetes# make all WHAT=cmd/kubeadm GOFLAGS=-v
  提示:若要編譯其他命令,可參考如下: # 編譯kubelet # make all WHAT=cmd/kubelet GOFLAGS=-v # 編譯kubectl # make all WHAT=cmd/kubectl GOFLAGS=-v   #編譯完命令在 _output/bin/kubeadm 目錄下, #其中bin是使用了軟連接 #真實路徑是_output/local/bin/linux/amd64/kubeadm
  1 root@51e96585ea73:/go/src/k8s.io/kubernetes# exit			#退出容器
  2 [root@master01 ~]# mv /usr/bin/kubeadm /usr/bin/kubeadm_backup	#備份原kubeadm
  3 [root@master01 ~]# cp kubernetes-1.18.3/_output/local/bin/linux/amd64/kubeadm /usr/bin/kubeadm
  4 [root@master01 ~]# kubeadm version		                        #查看版本
 

4.7 編譯kubeadm方式二

  1 [root@master01 ~]# yum -y install gcc make rsync jq
  2 [root@master01 ~]# wget https://dl.google.com/go/go1.13.9.linux-amd64.tar.gz
  3 [root@master01 ~]# tar zxvf go1.13.9.linux-amd64.tar.gz -C /usr/local/
  4 [root@master01 ~]# vi /etc/profile.d/goenv.sh
  5 #go setting
  6 export GOROOT=/usr/local/go
  7 export GOPATH=/usr/local/gopath
  8 export PATH=$PATH:$GOROOT/bin
  9 [root@master01 ~]# source /etc/profile
 10 [root@master01 ~]# go version
 11 go version go1.13.9 linux/amd64
 12 [root@master01 ~]# cd kubernetes-1.18.3/
 13 [root@master01 kubernetes-1.18.3]# make all WHAT=cmd/kubeadm GOFLAGS=-v
 14 [root@master01 kubernetes-1.18.3]# mv /usr/bin/kubeadm /usr/bin/kubeadm_backup	#備份原kubeadm
 15 [root@master01 kubernetes-1.18.3]# cp _output/local/bin/linux/amd64/kubeadm /usr/bin/kubeadm
 

4.8 備份集群配置

  1 [root@master01 ~]# kubeadm config view > kubeadm-cluster.yaml

4.8 更新證書

  1 [root@master01 ~]# ssh root@master02 "mv /usr/bin/kubeadm /usr/bin/kubeadm_backup"
  2 [root@master01 ~]# ssh root@master03 "mv /usr/bin/kubeadm /usr/bin/kubeadm_backup"
  3 [root@master01 ~]# scp -rp kubeadm-cluster.yaml root@master02:/root/
  4 [root@master01 ~]# scp -rp kubeadm-cluster.yaml root@master03:/root/
  5 [root@master01 ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml
  6 [root@master02 ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml
  7 [root@master03 ~]# kubeadm alpha certs renew all --config=kubeadm-cluster.yaml
  8 [root@master01 ~]# kubeadm alpha certs check-expiration		#確認驗證
  clipboard 提示:更新操作需要在所有master節點執行。 所有根證書:ca、etcd-ca、front-proxy-ca只有在init初始化的時候才會更新時間,因此建議對於kubeadm部署Kubernetes,可以在初始化之前使用編譯的方式將證書設置為更長時間,如100年。 clipboard

4.9 啟用證書

在三台Master上執行重啟kube-apiserver、kube-controller、kube-scheduler、etcd這4個容器,以便使證書生效。 參考3.3即可。
您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 一直不怎麼喜歡IIS,就一個簡單的服務,要安裝IIS,然後各種配置,雖然可以用程式一鍵搭建IIS環境和啟動服務,但是也麻煩的很。 之前接觸過一段Java,覺得Tomcat挺方便,一拷貝點擊運行就Ok。後來看到官網 WebAPI2使用OWIN自托管控制台啟動, 測試一下挺正常的,項目也採用這種方式部署 ...
  • 目錄 一、目的 二、準備 2.1 硬體 2.2 軟體 2.3 網路 結果 三、過程 3.1 鏡像製作 1.選擇鏡像 2. 製作啟動盤 3.2 安裝系統 1. 換源 2. 配置SSH 3. 設置靜態IP 4. 宿主機配置 5. 查看網卡 6. 修改配置文件 6.1 修改 6.2 新增 7. 重啟網路 ...
  • 痞子衡這幾天在支持一個i.MXRT1050客戶項目,客戶遇到了軟複位無法從32MB NOR Flash重新啟動的問題。這個客戶是做醫療設備的,已經基於i.MXRT做出一款成功的產品了,所以客戶其實有豐富的i.MXRT使用經驗。目前調試的項目是客戶的第二款產品,這個軟複位無法啟動問題已經困擾他們很久,... ...
  • 大家都知道,當我們的 Linux 系統電腦出現問題時,需要對其排除故障,首先需要做的是找出電腦的硬體信息。下麵介紹一個簡單易用的應用程式——HardInfo,你可以利用它來顯示你電腦的每個硬體方面的信息,它的好處就是不必去拆分電腦單獨查看每個部件。 安裝HardInfo工具 有的小伙伴會問如何去 ...
  • 最近,使用ubuntu 發現預設不能使用 x11轉發。配置修改如下: sudo vim /etc/ssh/sshd_config:修改服務端的sshd X11Forwarding yes sudo systemctl restart sshd.service sudo vim /etc/ssh/ss ...
  • 最近出現的許多記憶體問題都以3D Xpoint的形式出現在ReRAM,MRAM和PCRAM上。但是鐵電RAM(FRAM)在小型利基設備中得到了成功。去年對新興記憶體年報,吹捧的ReRAM,MRAM和PCRAM的三個關鍵新興的記憶保持在眼睛上。但它也指出,FRAM已在諸如大眾運輸卡,游戲系統和功率計之類的 ...
  • ​Nginx 是一個很強大的高性能Web和反向代理服務,它具有很多非常優越的特性,在連接高併發的情況下,Nginx是Apache服務不錯的替代品。其特點是占有記憶體少,併發能力強,事實上nginx的併發能力在同類型的網頁伺服器中表現較好,因此國內知名大廠例如:淘寶,京東,百度,新浪,網易,騰訊等等都在 ...
  • 1、下載https://github.com/alibaba/nacos/releases nacos-server-1.3.1.tar.gz 源碼包2、上傳到liunx伺服器 /usr/local下3、 解壓tar -zxvf nacos-server-1.3.1.tar.gz4、進入解壓後的na ...
一周排行
    -Advertisement-
    Play Games
  • Timer是什麼 Timer 是一種用於創建定期粒度行為的機制。 與標準的 .NET System.Threading.Timer 類相似,Orleans 的 Timer 允許在一段時間後執行特定的操作,或者在特定的時間間隔內重覆執行操作。 它在分散式系統中具有重要作用,特別是在處理需要周期性執行的 ...
  • 前言 相信很多做WPF開發的小伙伴都遇到過表格類的需求,雖然現有的Grid控制項也能實現,但是使用起來的體驗感並不好,比如要實現一個Excel中的表格效果,估計你能想到的第一個方法就是套Border控制項,用這種方法你需要控制每個Border的邊框,並且在一堆Bordr中找到Grid.Row,Grid. ...
  • .NET C#程式啟動閃退,目錄導致的問題 這是第2次踩這個坑了,很小的編程細節,容易忽略,所以寫個博客,分享給大家。 1.第一次坑:是windows 系統把程式運行成服務,找不到配置文件,原因是以服務運行它的工作目錄是在C:\Windows\System32 2.本次坑:WPF桌面程式通過註冊表設 ...
  • 在分散式系統中,數據的持久化是至關重要的一環。 Orleans 7 引入了強大的持久化功能,使得在分散式環境下管理數據變得更加輕鬆和可靠。 本文將介紹什麼是 Orleans 7 的持久化,如何設置它以及相應的代碼示例。 什麼是 Orleans 7 的持久化? Orleans 7 的持久化是指將 Or ...
  • 前言 .NET Feature Management 是一個用於管理應用程式功能的庫,它可以幫助開發人員在應用程式中輕鬆地添加、移除和管理功能。使用 Feature Management,開發人員可以根據不同用戶、環境或其他條件來動態地控制應用程式中的功能。這使得開發人員可以更靈活地管理應用程式的功 ...
  • 在 WPF 應用程式中,拖放操作是實現用戶交互的重要組成部分。通過拖放操作,用戶可以輕鬆地將數據從一個位置移動到另一個位置,或者將控制項從一個容器移動到另一個容器。然而,WPF 中預設的拖放操作可能並不是那麼好用。為瞭解決這個問題,我們可以自定義一個 Panel 來實現更簡單的拖拽操作。 自定義 Pa ...
  • 在實際使用中,由於涉及到不同編程語言之間互相調用,導致C++ 中的OpenCV與C#中的OpenCvSharp 圖像數據在不同編程語言之間難以有效傳遞。在本文中我們將結合OpenCvSharp源碼實現原理,探究兩種數據之間的通信方式。 ...
  • 一、前言 這是一篇搭建許可權管理系統的系列文章。 隨著網路的發展,信息安全對應任何企業來說都越發的重要,而本系列文章將和大家一起一步一步搭建一個全新的許可權管理系統。 說明:由於搭建一個全新的項目過於繁瑣,所有作者將挑選核心代碼和核心思路進行分享。 二、技術選擇 三、開始設計 1、自主搭建vue前端和. ...
  • Csharper中的表達式樹 這節課來瞭解一下表示式樹是什麼? 在C#中,表達式樹是一種數據結構,它可以表示一些代碼塊,如Lambda表達式或查詢表達式。表達式樹使你能夠查看和操作數據,就像你可以查看和操作代碼一樣。它們通常用於創建動態查詢和解析表達式。 一、認識表達式樹 為什麼要這樣說?它和委托有 ...
  • 在使用Django等框架來操作MySQL時,實際上底層還是通過Python來操作的,首先需要安裝一個驅動程式,在Python3中,驅動程式有多種選擇,比如有pymysql以及mysqlclient等。使用pip命令安裝mysqlclient失敗應如何解決? 安裝的python版本說明 機器同時安裝了 ...