自定义基于kubeadm创建的k8s集群证书

最新推荐文章于 2025-05-29 08:31:11 发布
最新推荐文章于 2025-05-29 08:31:11 发布
阅读量50 收藏
点赞数
文章标签: kubernetes 容器 云原生
原文链接:https://mp.weixin.qq.com/s?__biz=MzU0OTg5MzMzOQ==&mid=2247501109&idx=1&sn=ccf13e581125ded8258e9aee5808c668&chksm=fae10cef9c7e5ce6cfc883b03650eb9e649c8b8edbb053340ead68f6c847a2722d3ba940b203&scene=126&sessionid=0
版权

图片

新钛云服已累计为您分享835篇技术干货

图片

在 Kubernetes 集群的运维过程中,证书管理是非常重要的一部分。尤其是自定义证书的过期时间和定期的证书检查与替换。本文将详细介绍如何自定义基于kubeadm创建的k8s集群证书。

1、确认当前Kubernetes版本

首先,确认当前 Kubernetes版本:

Bash
kubectl version
WARNING: This version information is deprecated and will be replaced with the output from kubectl version --short.  Use --output=yaml|json to get the full version.
Client Version: version.Info{Major:"1", Minor:"27", GitVersion:"v1.27.6", GitCommit:"741c8db18a52787d734cbe4795f0b4ad860906d6", GitTreeState:"clean", BuildDate:"2023-09-13T09:21:34Z", GoVersion:"go1.20.8", Compiler:"gc", Platform:"linux/amd64"}
Kustomize Version: v5.0.1
Server Version: version.Info{Major:"1", Minor:"27", GitVersion:"v1.27.6", GitCommit:"741c8db18a52787d734cbe4795f0b4ad860906d6", GitTreeState:"clean", BuildDate:"2023-09-13T09:14:09Z", GoVersion:"go1.20.8", Compiler:"gc", Platform:"linux/amd64"}
# 这里查看的go环境版本为:GoVersion:"go1.20.8"
# Kubernetes源码版本为:GitVersion:"v1.27.6"

2、下载对应源码和编译环境

下载对应源码

根据Kubernetes版本信息下载对应版本的Kubernetes源码,

下载地址:

https://github.com/kubernetes/kubernetes/releases,

这里是v1.27.6版本

下载对应go环境

根据Kubernetes版本信息下载对应版本的go环境,下载地址:https://go.dev/dl/,这里是1.20.8版本

3、证书备份

为确保安全,先进行证书备份:

Bash
# master
cp -r /etc/kubernetes/pki /etc/kubernetes/pki-backup

4、证书检查

Kubernetes 提供了 kubeadm 命令来检测集群证书的过期时间。执行以下命令检查证书状态:

Bash
kubeadm certs check-expiration
[check-expiration] Reading configuration from the cluster...
[check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -o yaml'


CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
admin.conf                 Feb 14, 2026 05:26 UTC   364d            ca                      no      
apiserver                  Feb 14, 2026 05:26 UTC   364d            ca                      no      
apiserver-etcd-client      Feb 14, 2026 05:26 UTC   364d            etcd-ca                 no      
apiserver-kubelet-client   Feb 14, 2026 05:26 UTC   364d            ca                      no      
controller-manager.conf    Feb 14, 2026 05:26 UTC   364d            ca                      no      
etcd-healthcheck-client    Feb 14, 2026 05:26 UTC   364d            etcd-ca                 no      
etcd-peer                  Feb 14, 2026 05:26 UTC   364d            etcd-ca                 no      
etcd-server                Feb 14, 2026 05:26 UTC   364d            etcd-ca                 no      
front-proxy-client         Feb 14, 2026 05:26 UTC   364d            front-proxy-ca          no      
scheduler.conf             Feb 14, 2026 05:26 UTC   364d            ca                      no

此命令会列出集群中所有证书的过期信息,当前证书过期时间为1年。

5、自定义证书时间并替换

按照以下步骤进行替换:

5.1 准备编译环境

在 master节点准备编译环境:

Bash
# master
tar xf go1.20.8.linux-amd64.tar.gz -C /usr/local/
echo "export PATH=$PATH:/usr/local/go/bin" >>/etc/profile
source /etc/profile
go version

5.2 源码编译和替换

然后,编译 kubeadm 并替换原有版本:

Bash
# master
tar xf kubernetes-1.27.6.tar.gz
cd kubernetes-1.27.6/
vi cmd/kubeadm/app/constants/constants.go

修改证书有效期为 10 年(3650 天):

Bash
CertificateValidity = time.Hour * 24 * 365 * 10

编译 kubeadm:

Bash
make WHAT=cmd/kubeadm GOFLAGS=-v
ll _output/bin/
mv /usr/bin/kubeadm /usr/bin/kubeadm.bak
cp _output/bin/kubeadm /usr/bin/

5.3 更新证书

执行以下命令更新所有证书:

Bash
# master
kubeadm certs renew all
# 如不需要更新所有证书,可以按需更新以下证书
kubeadm certs renew admin.conf
kubeadm certs renew apiserver
kubeadm certs renew apiserver-kubelet-client 
kubeadm certs renew controller-manager.conf
kubeadm certs renew front-proxy-client
kubeadm certs renew scheduler.conf

5.4 同步文件至其他Master节点

将更新后的 kubeadm 二进制文件和证书同步到其他 Master 节点:

Bash
scp /usr/bin/kubeadm master02:/usr/bin
scp /usr/bin/kubeadm master03:/usr/bin

5.5 重启相关组件

最后,重启相关的 Kubernetes 组件,使证书生效:

Bash
kubectl -n kube-system delete po -l 'component=kube-apiserver'
kubectl -n kube-system delete po -l 'component=kube-controller-manager'
kubectl -n kube-system delete po -l 'component=kube-scheduler'

通过执行这些命令,集群中的证书将会更新,并且相关的组件会自动重启,应用新证书。

5.6 证书检查

执行以下命令检查证书状态:

Bash
kubeadm certs check-expiration
[check-expiration] Reading configuration from the cluster...
[check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -o yaml'


CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
admin.conf                 Feb 12, 2035 05:48 UTC   9y              ca                      no      
apiserver                  Feb 12, 2035 05:48 UTC   9y              ca                      no      
apiserver-etcd-client      Feb 12, 2035 05:48 UTC   9y              etcd-ca                 no      
apiserver-kubelet-client   Feb 12, 2035 05:48 UTC   9y              ca                      no      
controller-manager.conf    Feb 12, 2035 05:48 UTC   9y              ca                      no      
etcd-healthcheck-client    Feb 12, 2035 05:48 UTC   9y              etcd-ca                 no    
etcd-peer                  Feb 12, 2035 05:48 UTC   9y              etcd-ca                 no      
etcd-server                Feb 12, 2035 05:48 UTC   9y              etcd-ca                 no      
front-proxy-client         Feb 12, 2035 05:48 UTC   9y              front-proxy-ca          no      
scheduler.conf             Feb 12, 2035 05:48 UTC   9y              ca                      no

可以看到,现在所有证书过期时间均已变成10年。

5、总 结

本文详细介绍了如何自定义基于kubeadm创建的Kubernetes集群证书的过期时间,并对证书进行定期检查和替换。通过重新编译kubeadm源码,我们能够灵活地设置证书的有效期限,从而为测试环境和生产环境提供便利。

自定义证书过期时间不仅简化了运维管理,还减少了因证书过期导致的潜在风险。此外,通过本文的步骤,您可以确保集群的安全性和稳定性,同时避免了频繁更新证书带来的额外工作负担。

通过执行上述步骤,您可以有效地更新集群中的证书,并确保相关组件能够自动重启并应用新证书。这种方法不仅提高了运维效率,还增强了集群的整体安全性。

如有相关问题,请在文章后面给小编留言,小编安排作者第一时间和您联系,为您答疑解惑。

    推荐阅读   

图片

图片

图片

    推荐视频    

新钛云服
关注
云原生K8s实战》基于kubeadm部署K8S集群
君逍遥o
03-13 492
kubeadmKubernetes 官方提供的用于快速安部署 Kubernetes 集群的工具,伴随 Kubernetes 每个版本的发布都会同步更新,kubeadm 会对集群配置方面的一些实践做调整,通过kubeadm 可以学习到 Kubernetes 官方在集群配置上一些新的最佳实践。
基于Racher平台k8s集群搭建
热门推荐
技术引领业务创新
04-01 5万+
Rancher 是为使用容器的公司打造的容器管理平台。Rancher 简化了使用 Kubernetes 的流程,开发者可以随处运行 Kubernetes(Run Kubernetes Everywhere),满足 IT 需求规范,赋能 DevOps 团队。
Kubeadm 证书自定义时间
老实人的博客
02-29 1322
修改 Kubeadm 源码中的 Kubernetes 证书过期时间为100年。
kubeadm证书生成代码分析
u012449333的专栏
07-17 191
通过kubeadm init/join k8s集群时,会涉及证书及kubeconfig配置文件的创建。尤其在多master节点情况下,还涉及多节点之前证书的一致性问题。主要负责k8s集群的初始化和集群节点加入集群等功能。为物理机成为k8s节点创建需要的配置。从上述代码可以看到kubeadm真正执行是app目录下的Run函数, 查看app目录,目录架构如上图所示,通过名字基本知道每个目录的作用。如上面代码所示,通过NewKubeamCommand创建指令,并通过Execute执行命令。
使用kubeadm进行证书管理
lyyao09的博客
07-27 871
FEATURE STATE: Kubernetes v1.15 stable kubeadm生成的客户端证书将在1年后过期。本页介绍如何使用kubeadm管理证书续订。 开始之前 熟悉Kubernetes中的PKI证书和要求以及证书最佳实践。 检查证书过期时间 check-expiration命令可用于检查证书过期时间kubeadm alpha certs check-expiration ...
[云原生k8s] k8s的CA证书创建和使用及ETCD集群
m0_71521555的博客
11-03 1931
CA证书及ETCD集群部署
[云原生k8s] k8s的CA证书创建和使用
weixin_71429850的博客
11-03 2518
Etcd 是一个分布式键值存储系统,Kubernetes 使用 Etcd 进行数据存储,所以先准备 一个 Etcd 数据库,为解决 Etcd 单点故障,应采用集群方式部署,这里使用 3 台组建集 群,可容忍 1 台机器故障,当然,你也可以使用 5 台组建集群,可容忍 2 台机器故障。ETCD_INITIAL_CLUSTER_STATE:加入集群的当前状态,new 是新集群,existing 表示加入 已有集群。ETCD_INITIAL_ADVERTISE_PEER_URLS:集群通告地址。
kubeadm 部署k8s集群
fhjtg的博客
05-21 893
前面的文章中,我们采用了二进制包搭建出的k8s集群,本次我们采用更为简单的kubeadm的方式来搭建k8s集群。二进制的搭建更适合50台主机以上的大集群kubeadm更适合中小型企业的集群搭建master(,cpu核心数要求大于2)Harbor节点(hub.benet.com)1、在所有节点上安装Docker和kubeadm2、部署Kubernetes Master3、部署容器网络插件4、部署 Kubernetes Node,将节点加入Kubernetes集群中。
kubeadm创建k8s集群一直失败排查
Focus on k8s and python
07-31 1423
背景 某环境,使用kubeadm创建3个master节点的高可用集群,但是一直失败。 10.197.145.25: exec "kubeadm join 10.197.145.24:6443 \\\n--node-name=10.197.145.25 --token=vbgvbq.8bmv408a1uj0io2m \\\n--control-plane --certificate-key=c6840dd68d6dc52f4e74ed244d551337f2b3c9ac7dc766cd574090a
kubeadm快速自动化部署k8s集群
qq_73990369的博客
10-25 1318
切记要关闭防⽕墙、selinux、禁用交换空间,cpu核⼼数⾄少为2,内存4G ,配置yum源,修改主机名,做域名解析。准备环境。
K8S安装过程五:制作与生成证书
架构师实战感悟
11-28 1472
kubernetes 自签发证书创建
k8s:通过域名生成证书
weixin_42072280的博客
03-29 1518
正确方式 "hosts": [ "*.etcd" ], 完整生成证书的示例见附件 [root@node1 certs]# cat /root/k8s/cfg/etcd ETCD_OPTS="--name=etcd-2 \ --listen-peer-urls=https://192.168.56.169:2380 \ --initial-advertise-peer-urls=https://etcd2.etcd:2380 \ --listen-client-urls=http
k8s创建证书tls证书
july_young的博客
09-30 794
#创建证书 #openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout fortune-teller.key -out fortune-teller.pem -subj "/CN=*.serving.dubhe.ai/O=*.serving.dubhe.ai" #创建Secret #kubectl create secret tls fortune-teller.stack.build --cert fortune-teller.pem --k
k8s ca 证书的制作
sun_xuegang的博客
01-15 2212
一、下载相关软件
k8s证书生成相关内容
biqu5401的博客
08-21 2428
k8s证书概念client certificate is used to authenticate client by server. (客户端证书:用于被服务端认证)server certificate is used by server and verified by client for server identity.(服务端证书:用来验证使用证书的服务器的身份)pe...
k8s中kubeSphere的安装使用+阿里云私有镜像仓库配置完整步骤
最新发布
hnlucky的博客
05-29 1252
1、掌握kubeSphere 的安装部署 2、掌握kubesphere 使用外部镜像仓库; 2、熟悉图像化部署任务:产生pod---定义服务--验证访问 本次实验旨在通过 KubeSphere 平台部署基于自定义镜像(nginx:1.26.0 )的有状态副本集,以实现 Nginx 服务的容器化部署与管理,熟悉 KubeSphere 中工作负载创建、镜像拉取、资源配置等操作流程,验证 Nginx 服务在容器环境下的正常运行及外部可访问性。 实验环境 集群环境:KubeSphere 容器平台,具备多个
深度解析 K8S Pod 控制器,从原理到企业实践
1dea_Cao的博客
05-27 711
Kubernetes(简称 K8S)在容器编排领域已经成为事实标准,而在它的众多核心组件中,Pod 控制器扮演着至关重要的角色。本文将带你深入理解常用的几种 Pod 控制器(Deployment、StatefulSet、DaemonSet、Job、CronJob)的原理和应用场景,并结合企业实际环境中的使用案例,配合 YAML 配置和命令行操作全过程,帮助你真正掌握这些工具的实战应用。
pod创建和控制
qq_40127118的博客
05-27 519
‌最佳实践‌:使用YAML文件描述容器化应用。通过kubectl命令进行管理和操作。利用Deployment等控制器对象进行容器编排。
kubeadm重置k8s集群
01-07
### 使用 `kubeadm` 安全地重置 Kubernetes 集群 #### 准备工作 在执行任何操作前,建议备份重要的配置文件和数据。这包括但不限于 `/etc/kubernetes/`, `/var/lib/kubelet/`, 和其他自定义资源。 #### 执行重置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值