devbox
花生_TL007
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

kubeadm初始化k8s集群延长证书过期时间

作者:花生_TL007 | 2024-03-16 05:54:43

etcd的证书多久过期

前言

kubeadm初始化k8s集群,签发的CA证书有效期默认是10年,签发的apiserver证书有效期默认是1年,到期之后请求apiserver会报错,使用openssl命令查询相关证书是否到期。

以下延长证书过期的方法适合kubernetes1.14、1.15、1.16、1.17、1.18版本

查看证书有效时间

openssl x509 -in /etc/kubernetes/pki/ca.crt -noout -text  |grep Not

显示如下,通过下面可看到ca证书有效期是10年,从2020到2030年:

  1. Not Before: Apr 22 04:09:07 2020 GMT
  2. Not After : Apr 20 04:09:07 2030 GMT

openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text  |grep Not

显示如下,通过下面可看到apiserver证书有效期是1年,从2020到2021年:

  1. Not Before: Apr 22 04:09:07 2020 GMT
  2. Not After : Apr 22 04:09:07 2021 GMT

延长证书过期时间

1.把update-kubeadm-cert.sh文件上传到master1、master2、master3节点

update-kubeadm-cert.sh文件所在的github地址如下:

https://github.com/luckylucky421/kubernetes1.17.3

把update-kubeadm-cert.sh文件clone和下载下来,拷贝到master1,master2,master3节点上

2.在每个节点都执行如下命令

1)给update-kubeadm-cert.sh证书授权可执行权限

chmod +x update-kubeadm-cert.sh

2)执行下面命令,修改证书过期时间,把时间延长到10年

./update-kubeadm-cert.sh all

3)在master1节点查询Pod是否正常,能查询出数据说明证书签发完成

kubectl  get pods -n kube-system

显示如下,能够看到pod信息,说明证书签发正常:

  1. ......
  2. calico-node-b5ks5                  1/1     Running   0          157m
  3. calico-node-r6bfr                  1/1     Running   0          155m
  4. calico-node-r8qzv                  1/1     Running   0          7h1m
  5. coredns-66bff467f8-5vk2q           1/1     Running   0          7h30m
  6. ......

验证证书有效时间是否延长到10年

openssl x509 -in /etc/kubernetes/pki/ca.crt -noout -text  |grep Not

显示如下,通过下面可看到ca证书有效期是10年,从2020到2030年:

  1. Not Before: Apr 22 04:09:07 2020 GMT
  2. Not After : Apr 20 04:09:07 2030 GMT

openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text  |grep Not

显示如下,通过下面可看到apiserver证书有效期是10年,从2020到2030年:

  1. Not Before: Apr 22 11:15:53 2020 GMT
  2. Not After : Apr 20 11:15:53 2030 GMT

openssl x509 -in /etc/kubernetes/pki/apiserver-etcd-client.crt  -noout -text  |grep Not

显示如下,通过下面可看到etcd证书有效期是10年,从2020到2030年:

  1. Not Before: Apr 22 11:32:24 2020 GMT
  2. Not After : Apr 20 11:32:24 2030 GMT

openssl x509 -in /etc/kubernetes/pki/front-proxy-ca.crt  -noout -text  |grep Not

显示如下,通过下面可看到fron-proxy证书有效期是10年,从2020到2030年:

  1. Not Before: Apr 22 04:09:08 2020 GMT
  2. Not After : Apr 20 04:09:08 2030 GMT

技术交流

为了大家更快速的学习知识,掌握技术,随时沟通问题,特组建了技术交流群,大家在群里可以分享自己的技术栈,抛出日常问题,群里会有很多大佬及时解答,这样我们会结识很多志同道合的人,长按下图可加我微信,备注运维或者k8s或者devops即可进群,让我们共同努力,向着美好的未来出发吧~~~

微信:luckylucky421302

按如下指纹可关注公众号


声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/花生_TL007/article/detail/247502
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号