国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁(yè)
  2. >Toy博客

在不能升級(jí)版本的情況下,解決k8s證書到期且續(xù)約只有1年的問題

1年前作者:duansamve分類:Toy博客閱讀(31)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了在不能升級(jí)版本的情況下,解決k8s證書到期且續(xù)約只有1年的問題。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請(qǐng)大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

更新證書需要重啟服務(wù)才能生效(證書已經(jīng)過期和還未過期都要重啟才能生效),重啟會(huì)對(duì)業(yè)務(wù)產(chǎn)生影響,請(qǐng)申請(qǐng)時(shí)間窗口進(jìn)行處理

注意該工具只適用于k8s版本v1.18.5、請(qǐng)按照服務(wù)器架構(gòu)選擇對(duì)應(yīng)的版本

相關(guān)說明:

證書到期后 kube-scheduler 和 kube-controoler-manager 會(huì)出現(xiàn)異常,原先已經(jīng)運(yùn)行的Pod還能工作,當(dāng)Pod出現(xiàn)異常重啟或是被刪除后無(wú)法自動(dòng)重建。證書更新后需要重啟 master 的 靜態(tài) Pods。因?yàn)閯?dòng)態(tài)證書重載目前還不被所有組件和證書支持,所有這項(xiàng)操作是必須的。 靜態(tài) Pods 是被本地 kubelet 而不是 API Server 管理, 所以 kubectl 不能用來刪除或重啟他們。

證書更新需要在所有k8s節(jié)點(diǎn)操作,使用定制的 kubeadm 工具更新證書,請(qǐng)按照以下步驟執(zhí)行:

1.下載定制的 kubeadm 二進(jìn)制文件,并上傳到服務(wù)器,下載鏈接如下:

2.master節(jié)點(diǎn)執(zhí)行如下命令,查看 k8s 組件證書有效期,RESIDUAL TIME 為 “invalid” 則表示已過期,如果沒過期也可以提前續(xù)約;

kubeadm alpha certs check-expiration

3.對(duì)證書和配置進(jìn)行備份,所有節(jié)點(diǎn)需要操作;

cp -a /etc/kubernetes /etc/kubernetes.bak

master節(jié)點(diǎn)再備份config配置

cp /root/.kube/config /root/.kube/config.bak

4.使用定制的 kubeadm 進(jìn)行續(xù)約操作,所有master節(jié)點(diǎn)需要操作;

chmod u+x kubeadm-10y

./kubeadm-10y alpha certs renew all

5.執(zhí)行以下命令,所有master節(jié)點(diǎn)使用更新后的 admin.conf 替換 /root/.kube/config 文件,出現(xiàn)提示時(shí),輸入 y 后回車;

cp -i /etc/kubernetes/admin.conf $HOME/.kube/config

y

6.master節(jié)點(diǎn)執(zhí)行以下命令,查看 k8s 組件證書更新情況,RESIDUAL TIME 為 <數(shù)字>y 則標(biāo)識(shí)證書已更新,且有效期10年;

kubeadm alpha certs check-expiration

7.master節(jié)點(diǎn)使用 kubectl 命令,檢查輸出是否正常

kubectl get pod -A

kubectl get node

8.所有master節(jié)點(diǎn)載入基礎(chǔ)鏡像防止部分節(jié)點(diǎn)缺少基礎(chǔ)鏡像

docker load -i /usr/share/proton-cs/images.tar

9.重啟服務(wù)使得所有組件能使用新證書進(jìn)行工作,master節(jié)點(diǎn)逐臺(tái)運(yùn)行以下命令,以降低重啟的影響:

docker restart `docker ps | grep -E 'kube-apiserver|kube-scheduler|kube-controller|etcd|apigateway' | grep kube-system | grep -v 'anyrobot\|calico' | awk '{print $1}' | xargs` &>/dev/null

systemctl restart kubelet

10. 服務(wù)啟動(dòng)后還需檢查kubelet 輪換證書是否已經(jīng)過期,如果已經(jīng)過期,需要參照 KB-3125 進(jìn)行處理,檢查方法如下,每個(gè)k8s節(jié)點(diǎn)執(zhí)行命令:

openssl x509 -noout -in /var/lib/kubelet/pki/kubelet-client-current.pem -text| grep -i not

Not Before 指證書有效開始時(shí)間,Not After 指證書有效截至?xí)r間,如果 Not After 小于當(dāng)前時(shí)間,說明證書已經(jīng)過期,且沒有自動(dòng)輪換,需要手動(dòng)干預(yù)解決

比如,當(dāng)前時(shí)間是2024年1月16日,Not After 為 2023年5月6日,說明已經(jīng)過期,需要參照 KB-3125 進(jìn)行處理文章來源地址http://www.zghlxwxcb.cn/news/detail-857259.html

到了這里,關(guān)于在不能升級(jí)版本的情況下,解決k8s證書到期且續(xù)約只有1年的問題的文章就介紹完了。如果您還想了解更多內(nèi)容,請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請(qǐng)注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • k8s集群證書過期解決

    問題現(xiàn)象 K8S集群證書過期后,會(huì)導(dǎo)無(wú)法創(chuàng)建Pod,通過kubectl get nodes也無(wú)法獲取信息,甚至dashboard也無(wú)法訪問。 執(zhí)行命令發(fā)現(xiàn)報(bào)錯(cuò): Unable to connect to the server: x509: certificate has expired or is not yet valid 查看K8S的日志: Part of the existing bootstrap client certificate is expired: 2023-08-29 02:29:04 +0

    2024年02月11日
    瀏覽(18)
  • 解決K8s證書過期問題

    解決K8s證書過期問題

    K8s出現(xiàn)的問題:證書過期 參考K8s官方文檔 查看運(yùn)行日志: 關(guān)鍵錯(cuò)誤:part of the existing bootstrap client certificate in /etc/kubernetes/kubelet.conf is expired: 2022-10-12 06:54:16 +0000 UTC 查看證書期限: 解決方式: 對(duì)過期證書進(jìn)行備份,并刪除舊的證書 重新生成證書 備份舊的配置文件 重新生成

    2024年02月16日
    瀏覽(28)
  • 【K8s】1版本回退升級(jí)&金絲雀發(fā)布

    【K8s】1版本回退升級(jí)&金絲雀發(fā)布

    為了更好的解決服務(wù)編排的問題, 我們可以使用Deployment控制器。這種控制器不直接管理pod,他通過ReplicaSet來管理pod。 目錄 1.使用yaml文件形式,創(chuàng)建deployment 2.擴(kuò)縮容 3.鏡像更新 4.版本回退 5.金絲雀發(fā)布 金絲雀發(fā)布的優(yōu)點(diǎn) 金絲雀發(fā)布的缺點(diǎn) Deployment主要功能: 支持ReplicaSet的

    2024年02月03日
    瀏覽(18)
  • kubeadm升級(jí)k8s版本1.28.2升級(jí)至1.28.4(Ubuntu操作系統(tǒng)下)

    kubeadm升級(jí)k8s版本1.28.2升級(jí)至1.28.4(Ubuntu操作系統(tǒng)下)

    1.官網(wǎng)升級(jí)說明 升級(jí) kubeadm 集群 | Kubernetes 2. 版本說明 詳細(xì)參考:版本偏差策略 | Kubernetes Kubernetes 版本以? x.y.z ?表示,其中? x ?是主要版本,? y ?是次要版本, z ?是補(bǔ)丁版本。 版本升級(jí)控制: ? ? ? ? 1.?最新版和最老版的 kube-apiserver 實(shí)例版本偏差最多為一個(gè)次要版本

    2024年02月02日
    瀏覽(25)
  • 云原生Kubernetes:K8S集群版本升級(jí)(v1.20.6 - v1.20.15)

    云原生Kubernetes:K8S集群版本升級(jí)(v1.20.6 - v1.20.15)

    目錄 一、理論 1.K8S集群升級(jí) 2.集群概況 3.升級(jí)集群 4.驗(yàn)證集群 二、實(shí)驗(yàn) ?1.升級(jí)集群 2.驗(yàn)證集群 三、問題 1.給node1節(jié)點(diǎn)打污點(diǎn)報(bào)錯(cuò) (1)概念 搭建K8S集群的方式有很多種,比如二進(jìn)制,kubeadm,RKE(Rancher)等,K8S集群升級(jí)方式也各有千秋,目前準(zhǔn)備使用kubeadm方式搭建的k8s集群

    2024年02月07日
    瀏覽(27)
  • 云原生Kubernetes:K8S集群版本升級(jí)(v1.20.15 - v1.22.14)

    云原生Kubernetes:K8S集群版本升級(jí)(v1.20.15 - v1.22.14)

    目錄 一、理論 1.K8S集群升級(jí) 2.集群概況 3.升級(jí)集群(v1.21.14) 4.驗(yàn)證集群(v1.21.14) 5.升級(jí)集群(v1.22.14) 6.驗(yàn)證集群? (v1.22.14) 二、實(shí)驗(yàn) ?1.升級(jí)集群(v1.21.14) 2.驗(yàn)證集群(v1.21.14) ?3.升級(jí)集群(v1.22.14) 4.驗(yàn)證集群(v1.22.14) (1)概念 搭建K8S集群的方式有很多種,比如二

    2024年02月07日
    瀏覽(18)
  • 【C站首發(fā)】全網(wǎng)最新Kubernetes(K8s)1.28版本探秘及部署 基于Containerd容器運(yùn)行時(shí)(100年證書kubeadm)

    【C站首發(fā)】全網(wǎng)最新Kubernetes(K8s)1.28版本探秘及部署 基于Containerd容器運(yùn)行時(shí)(100年證書kubeadm)

    序號(hào) 操作系統(tǒng)及版本 備注 1 CentOS7u9 需求 CPU 內(nèi)存 硬盤 角色 主機(jī)名 值 8C 8G 1024GB master k8s-master01 值 8C 16G 1024GB worker(node) k8s-worker01 值 8C 16G 1024GB worker(node) k8s-worker02 1.3.1 主機(jī)名配置 由于本次使用3臺(tái)主機(jī)完成kubernetes集群部署,其中1臺(tái)為master節(jié)點(diǎn),名稱為k8s-master01;其中2臺(tái)為wor

    2024年02月08日
    瀏覽(40)

  • etcd在高磁盤IO的情況下會(huì)導(dǎo)致K8S集群不可用的解決思路

    etcd是Kubernetes中用于存儲(chǔ)集群狀態(tài)信息的關(guān)鍵組件。高磁盤IO可能導(dǎo)致etcd性能下降,從而影響整個(gè)Kubernetes集群的穩(wěn)定性。解決這個(gè)問題可以從多個(gè)方面入手: 優(yōu)化etcd配置 :檢查etcd的配置參數(shù),確保其與您的硬件配置和集群規(guī)模相適應(yīng)。可以調(diào)整etcd的并發(fā)限制、緩存大小等

    2024年02月15日
    瀏覽(35)
  • k8s集群網(wǎng)絡(luò)插件搭建——————解決集群notready(k8s1.20版本,docker24)

    k8s集群網(wǎng)絡(luò)插件搭建——————解決集群notready(k8s1.20版本,docker24)

    ????????前面已經(jīng)提到,在初始化 k8s-master 時(shí)并沒有網(wǎng)絡(luò)相關(guān)配置,所以無(wú)法跟 node 節(jié)點(diǎn)通信,因此狀態(tài)都是“NotReady”。但是通過 kubeadm join 加入的 node 節(jié)點(diǎn)已經(jīng)在k8s-master 上可以看到。 ?那么,這個(gè)時(shí)候我們?cè)撛趺崔k呢???????? 安裝flannel ????????Master 節(jié)點(diǎn)

    2024年02月13日
    瀏覽(46)

  • k8s集群證書過期后,如何更新k8s證書

    對(duì)于版本 1.21.5,這是我的解決方案: ssh 到主節(jié)點(diǎn),然后在步驟 2 中檢查證書。 運(yùn)行這個(gè)命令: kubeadm certs check-expiration 并看到昨天所有的都過期了。 所有現(xiàn)有證書的備份: 要全部更新,請(qǐng)運(yùn)行以下命令: kubeadm certs renew all Done renewing certificates. You must restart the kube-apiserver

    2024年02月11日
    瀏覽(26)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請(qǐng)作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包