10,kubernetes-证书有效期修改
1,证书有效期问题kubeadm初始化k8s集群,签发的CA证书有效期默认是10年,签发的apiserver证书有效期默认是1年,到期之后请求apiserver会报错,使用openssl命令查询相关证书是否到期。一下延长证书有效期的方法适合kubernetes1.14、1.15、1.16、1.17、1.18版本。2,查看证书有效期2.1 查看CA证书有效期# openssl x509 -in /e
·
1,证书有效期问题
kubeadm初始化k8s集群,签发的CA证书有效期默认是10年,签发的apiserver证书有效期默认是1年,到期之后请求apiserver会报错,使用openssl命令查询相关证书是否到期。
一下延长证书有效期的方法适合kubernetes1.14、1.15、1.16、1.17、1.18版本。
2,查看证书有效期
2.1 查看CA证书有效期
# openssl x509 -in /etc/kubernetes/pki/ca.crt -noout -text |grep Not
Not Before: Jul 20 06:56:37 2020 GMT
Not After : Jul 18 06:56:37 2030 GMT
可以看到签发年限为10年
2.2 查看apiserver证书有效期为
# openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep Not
Not Before: Jul 20 06:56:37 2020 GMT
Not After : Jul 20 06:56:37 2021 GMT
可以看到签发年限为1年,所以生产中需要修改证书年限
3,延长证书年限
3.1 下载脚本工具
git clone https://github.com/kubernetes/kubernetes.git
3.2 如果有多个master节点,需要拷贝到每一个master节点.均执行以下操作:
chmod +x update-kubeadm-cert.sh
./update-kubeadm-cert.sh all
查询到Pod节点正常启动,证明证书签发正常:
3.3 查看apiserver的证书是否延长:
# openssl x509 -in /etc/kubernetes/pki/ca.crt -noout -text |grep Not
Not Before: Jul 20 06:56:37 2020 GMT
Not After : Jul 18 06:56:37 2030 GMT
已经延长至10年
K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容
更多推荐
0
0- 0
已为社区贡献4条内容
所有评论(0)