Kubernetes基于kubeadm1.15.0 解决证书过期

使用kubeadm安装集群默认证书的有效期是一年，过期后需要重新续期这套方法是在已经超过一年的有效期之后不得已采取的方法，最好还是在过期之前进行证书的续期在过期之前进行续期请参考官方文档https://kubernetes.io/zh/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/首先查看证书是否有效：sudo openssl x509 -

beSteping

1688人浏览 · 2020-09-02 10:31:48

beSteping · 2020-09-02 10:31:48 发布

使用kubeadm安装集群默认证书的有效期是一年，过期后需要重新续期

这套方法是在已经超过一年的有效期之后不得已采取的方法，最好还是在过期之前进行证书的续期
在过期之前进行续期请参考官方文档https://kubernetes.io/zh/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/

首先查看证书是否有效：

sudo openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not '
输出：
            Not Before: May 24 03:32:37 2019 GMT
            Not After : May 23 03:32:38 2020 GMT

在当前目录下编辑配置文件kubeadm.conf并写入以下内容：

apiVersion: kubeadm.k8s.io/v1beta1
kind: ClusterConfiguration
kubernetesVersion: v1.15.0  # kubernetes 版本
apiServer:
  certSANs:
  - 192.168.188.xxx # master 所有节点IP地址，包括master和slave
  - 192.168.188.xxx # slave
  - 192.168.188.xxx # slave
  extraArgs:
    service-node-port-range: 80-32767
    advertise-address: 0.0.0.0
controlPlaneEndpoint: "192.168.188.xxx:6443"  # APIserver 地址,也就是master节点地址
imageRepository: registry.cn-hangzhou.aliyuncs.com/google_containers #这里使用国内的镜像仓库，否则在重新签发的时候会报错

更新证书命令：

kubeadm alpha certs renew all --config kubeadm.conf
sudo openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not '

输出：
            Not Before: Jun 24 10:55:40 2019 GMT
            Not After : Jul 27 08:37:35 2021 GMT

重新生成配置文件：

mv /etc/kubernetes/*.conf ~/.
kubeadm init phase kubeconfig all --config kubeadm.conf

更新.kube下的配置文件：

mv $HOME/.kube/config $HOME/.kube/config.old
sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config

重启kube-apiserver,kube-controller,kube-scheduler,etcd这4个容器：

docker ps | grep -v pause | grep -E "etcd|scheduler|controller|apiserver" | awk '{print $1}' | awk '{print "docker","restart",$1}' | bash

到这一步master节点就更新完成了，然后获取token在更新slave节点时要用

kubeadm token create

接下来需要ssh到每个slave节点让他们重新注册到master节点,下面会把kube2和kube3两个slave节点注册到kube1这个master节点上去

sudo kubeadm join --token=&lt;token&gt;  &lt;ip of master node&gt;:&lt;port used 6443 is the default&gt; --node-name &lt;should be the same one &gt;
eg:
sudo kubeadm join --token=ngazdd.43ufakkceyhst2j5  192.168.188.xxx:6443 --node-name kube2 --discovery-token-unsafe-skip-ca-verification
sudo kubeadm join --token=ngazdd.43ufakkceyhst2j5  192.168.188.xxx:6443 --node-name kube3 --discovery-token-unsafe-skip-ca-verification

此时会报错，提示有些文件已存在，并且10250端口已存在

root@kube3:~# sudo kubeadm join --token=ngazdd.43ufakkceyhst2j5  192.168.188.xxx:6443 --node-name kube3 --discovery-token-unsafe-skip-ca-verification
[preflight] Running pre-flight checks
	[WARNING Service-Docker]: docker service is not enabled, please run 'systemctl enable docker.service'
	[WARNING IsDockerSystemdCheck]: detected "cgroupfs" as the Docker cgroup driver. The recommended driver is "systemd". Please follow the guide at https://kubernetes.io/docs/setup/cri/
error execution phase preflight: [preflight] Some fatal errors occurred:
	[ERROR FileAvailable--etc-kubernetes-kubelet.conf]: /etc/kubernetes/kubelet.conf already exists
	[ERROR FileAvailable--etc-kubernetes-bootstrap-kubelet.conf]: /etc/kubernetes/bootstrap-kubelet.conf already exists
	[ERROR FileAvailable--etc-kubernetes-pki-ca.crt]: /etc/kubernetes/pki/ca.crt already exists

需要删除这些已存在的端口，并且关闭kubelet

root@kube3:~# rm -rf /etc/kubernetes/kubelet.conf
root@kube3:~# rm -rf /etc/kubernetes/bootstrap-kubelet.conf
root@kube3:~# rm -rf /etc/kubernetes/pki/ca.crt
root@kube3:~# systemctl stop kubelet

再次执行就加入成功了

root@kube3:~# sudo kubeadm join --token=ngazdd.43ufakkceyhst2j5  192.168.188.xxx:6443 --node-name kube3 --discovery-token-unsafe-skip-ca-verification
[preflight] Running pre-flight checks
	[WARNING Service-Docker]: docker service is not enabled, please run 'systemctl enable docker.service'
	[WARNING IsDockerSystemdCheck]: detected "cgroupfs" as the Docker cgroup driver. The recommended driver is "systemd". Please follow the guide at https://kubernetes.io/docs/setup/cri/
[preflight] Reading configuration from the cluster...
[preflight] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml'
[kubelet-start] Downloading configuration for the kubelet from the "kubelet-config-1.15" ConfigMap in the kube-system namespace
[kubelet-start] Writing kubelet configuration to file "/var/lib/kubelet/config.yaml"
[kubelet-start] Writing kubelet environment file with flags to file "/var/lib/kubelet/kubeadm-flags.env"
[kubelet-start] Activating the kubelet service
[kubelet-start] Waiting for the kubelet to perform the TLS Bootstrap...

This node has joined the cluster:
* Certificate signing request was sent to apiserver and a response was received.
* The Kubelet was informed of the new secure connection details.

Run 'kubectl get nodes' on the control-plane to see this node join the cluster.

https://www.cnblogs.com/xiaoyuxixi/p/12667983.html
https://github.com/kubernetes/kubeadm/issues/581

Cloudpods

开源、云原生的融合云平台

更多推荐

面向未来的 IT 基础设施管理架构——融合云（Unified IaaS）

随着数字化时代的到来，IT系统已成为人类社会正常运转不可或缺的组成部分。不远的未来，智能制造，5G和人工智能等技术将成为推动生产力发展的重要引擎，人类社会将面临前所未有的全面彻底的数字化浪潮。IT基础设施作为IT系统运行的平台和载体，是实现数字化的基石。在这场数字化浪潮中，企业必须积极拥抱云计算技术，采用符合技术发展趋势、面向未来的IT基础构架，才能在未来的竞争中赢得先机。一、云计算历经十余年

Cloudpods

Cloudpods负载均衡的功能介绍

作者:周有松今天的内容会从以下几个方面展开：负载均衡产品简介。主要介绍负载均衡作为一个云上产品，它的功能模型是怎样的，日常使用中会遇到的业务词汇负载均衡的功能与典型应用场景。这部分主要结合业务词汇，对负载均衡服务中常见的一些功能选项进行介绍，并举例介绍一些典型的应用场景最后，我们做一下总结，讨论一下负载均衡产品相比传统方式的优点一、产品简介 1. 以NGINX为例提到负载均衡，我们以

Cloudpods

使用Linux vfio将Nvidia GPU透传给QEMU虚拟机

Linux 上虚拟机 GPU 透传需要使用 vfio 的方式。主要是因为在 vfio 方式下对虚拟设备的权限和 DMA 隔离上做的更好。但是这么做也有个缺点，这个物理设备在主机和其他虚拟机都不能使用了。 qemu 直接使用物理设备本身命令行是很简单的，关键在于事先在主机上对系统、内核和物理设备的一些配置。单纯从 qemu 的命令行来看，其实和普通虚拟机启动就差了最后那个-device的选项。这

Cloudpods

所有评论(0)

查看更多评论

beSteping

@u013171997

已为社区贡献3条内容