k8s踩坑(三)、kubeadm证书/etcd证书过期处理

原创 已于 2022-10-08 17:33:30 修改 · 2.8w 阅读 · 41
标签
#kubernetes #etcd #docker
于 2019-03-08 17:47:36 首次发布
本文记录了一次Kubernetes集群中k8sapi无法调用的故障排查过程,详细描述了apiserver和etcd证书过期导致的问题及解决方案。

故障现象

使用kubeadm部署的集群,在运行了一年之后今天,出现k8s api无法调取的现象,使用kubectl命令获取资源均返回如下报错:

Unable to connect to the server: x509: certificate has expired or is not yet valid

故障排查

查看apiserver.crt证书的签署日期和过期日期:

root@9027:/etc/etcd/ssl# openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not '
            Not Before: Mar  8 03:49:29 2018 GMT
            Not After : Mar  7 04:44:27 2019 GMT

发现恰好刚到过期日期,去github查询才得知kubeadm默认的证书签署过期时间为1年,大坑!google找到方法说可以通过修改kubeadm源代码调整证书签署的过期时间然后重新编译,即可预防这个问题。但是现在证书过期的问题已经发生了,只能通过更换证书的办法解决,在github上有详细的说明,issue链接如下:
https://github.com/kubernetes/kubeadm/issues/581

开始替换apiserver证书

进入master节点

cd /etc/kubernetes
# 备份证书和配置
mkdir ./pki_bak
mkdir ./conf_bak
mv pki/apiserver* ./pki_bak/
mv pki/front-proxy-client.* ./pki_bak/
 mv ./admin.conf ./conf_bak/
 mv ./kubelet.conf ./conf_bak/
 mv ./controller-manager.conf ./conf_bak/
 mv ./scheduler.conf ./conf_bak/

# 创建证书
kubeadm alpha phase certs apiserver --apiserver-advertise-address ${MASTER_API_SERVER_IP}
kubeadm alpha phase certs apiserver-kubelet-client
kubeadm alpha phase certs front-proxy-client

# 生成新配置文件
kubeadm alpha phase kubeconfig all --apiserver-advertise-address ${MASTER_API_SERVER_IP}

# 将
最低0.47元/天 解锁文章
kubeadm证书/etcd证书过期处理
小啊宇的博客
10-14 2605
今天突然测试环境的Kubernetes 持续集成/持续发布出了问题了,然后上测试环境服务器排查,发现kubectl指令执行出现问题, Unable to connect to the server: x509: certificate has expired or is not yet valid 然后翻译了一下提示证书过期,网上查了下资料,说是:kubernetes的apiServer 与kubelet的访问授权证书是一年,官方的解释是:通过这种方式,让用户不断的升级版本。给出的解决方案有以下几种:
k8s集群证书过期处理,更新kubeadm生成的证书有效期为10年
隔壁老瓦的专栏
05-08 6082
该脚本用于处理过期或者即将过期kubernetes集群证书 kubeadm生成的证书有效期为为1年,该脚本可将kubeadm生成的证书有效期更新为10年 该脚本只处理master节点上的证书kubeadm默认配置了kubelet证书自动更新,node节点kubelet.conf所指向的证书会自动更新 小于v1.17版本的master初始化节点(执行kubeadm init的节点) ku...
[MicroK8s] Unable to connect to the server: x509: certificate has expired or is not yet valid 问题定位案例
pcj_888的博客
09-05 1789
如题
K8S证书过期(一年一换)-K8S异常之Unable to connect to the server: x509: certificate has expired or is not yet
tanzongbiao的专栏
05-09 548
K8S证书过期(一年一换)-K8S异常之Unable to connect to the server: x509: certificate has expired or is not yet valid。systemctl restart kube-controller-manage 无此方法。kubectl get node 执行此命令发现有新的报错。4、重新部署服务或重启linux。
K8s集群证书过期实战:从预警到一键续期的完整运维指南
最新发布
weixin_28700593的博客
05-17 208
本文详细解析K8s集群证书过期的典型症状与应急处理方案,提供从master节点到worker节点的完整续期流程,包括kubeadm证书续订、kubeconfig更新及组件重启等关键步骤。特别分享自动化续期脚本和监控告警体系搭建实践,帮助运维人员有效预防证书过期导致的集群故障。
k8s自签证书过期x509: certificate has expired or is not yet valid报错
12-28 4409
使用kubelet get node后报错,x509: certificate has expired or is not yet valid,提示证书过期
Unable to connect to the server: x509: certificate has expired or is not yet valid
weixin_54104864的博客
06-15 7150
【代码】Unable to connect to the server: x509: certificate has expired or is not yet valid。
K8S异常之Unable to connect to the server: x509: certificate has expired or is not yet valid
一掬净土
01-03 1万+
K8S异常之Unable to connect to the server: x509: certificate has expired or is not yet valid
K8s 集群(kubeadm) CA 证书过期解决方案
RAB
07-04 4570
K8s 集群(kubeadm) CA 证书过期解决方案。
kubeadm安装的k8s证书过期了怎么办?
qq_50119948的博客
05-06 2196
. 问题起源 kubeadmkubernetes 提供的一个初始化集群的工具,使用起来非常方便。但是它创建的apiserver、controller-manager等证书默认只有一年的有效期,同时kubelet 证书也只有一年有效期,一年之后 kubernetes 将停止服务。 官方推荐一年之内至少用 kubeadm upgrade 更新一次 kubernetes 系统,更新时也会自动更新证书。不过,在产线环境或者无法连接外网的环境频繁更新 kubernetes 不太现实。 我们可以在过期之前或之后,
查看k8s证书过期时间:各组件
学亮编程手记
02-22 5378
[root@k8s-n0 kuboard-install]# kubeadm alpha certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml' [check-expi
实测:重启服务器之后k8s启动失败报错Unable to connect to the server:x509: certificate has expired or is not yet valid
sfdst的博客
03-07 7789
文章目录1 问题描述(kubeadm证书/etcd证书过期处理)2 集群恢复方法3 手动替换apiserver证书3.1 备份证书和配置3.2 自备的kube-config.yaml文件4 通过脚本一键更新证书(本次通过脚本更新证书)5 启用自动轮换kubelet证书5.1 增加kubelet参数5.2 增加controller-manager参数5.3 创建rbac对象 1 问题描述(kubeadm证书/etcd证书过期处理) 重启了服务器,发现k8s启动失败,一直报错连接 Unable to regis
k8s v1.16.3,Unable to connect to the server: x509: certificate has expired or is not yet valid
牛奔的博客
03-27 972
前言 kubernetes 版本为 v1.16.3 使用 kubelet get node 后报错: x509: certificate has expired or is not yet valid ,提示证书过期。 解决 检查证书何时过期 kubeadm alpha certs check-expiration CERTIFICATE EXPIRES ...
k8s组件证书过期:Unable to connect to the server: x509: certificate has expired or is not yet valid
llg___的博客
11-28 2729
Unable to connect to the server: x509: certificate has expired or is not yet valid自己服务的pod重启后数量一直会为0。K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/pki 路径下,由 kubeadm 生成的客户端证书在 1 年后到期,因此需要定时更新证书,否则证书到期会导致整个集群不可用。今天遇到一个k8s证书过期问题,记录下解决方法。
Unable to connect to the server: x509: certificate has expired or is not yet valid,k8s证书过期的解决方案之一
ChuaWi98的博客
02-29 1480
Unable to connect to the server: x509: certificate has expired or is not yet valid,k8s证书过期的解决方案之一
k8s报错:Unable to connect to the server: x509: certificate has expired or is not yet valid
qq_42448043的博客
01-02 8548
问题现象:kubernetes集群部署过程中,kubectl相关命令不可用,报错:Unable to connect to the server: x509: certificate has expired or is not yet valid。过一段时间又可以正常使用。 解决方案:检查生成证书的机器的时间是否与master、node节点时间同步,若生成证书机器的时间早于master、node...
K8S证书过期解决办法之替换证书
热门推荐
q_hsolucky的博客
06-20 1万+
k8s证书过期解决方案之替换证书
kops etcd证书过期问题
qq522044637的博客
08-26 981
前言 etcd-manager 在云或裸机上管理 etcd 集群。它借鉴了 etcd-operator 的思想,但避免了依赖 kubernetes(本身依赖 etcd)的循环依赖。 当 etcd-manager 首次启动时,它会为每个主节点颁发证书。这些证书的硬编码期限为一年。如果证书过期,apiserver 将无法再访问本地 etcd 成员。 etcd-manager 首次在 Kops 1.12 中引入,该版本于 2019 年 5 月 15 日发布。这意味着,如果你升级了1.12以上的版本,并且不知
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值