美文网首页Kubernetes运维点滴
kubelet签署证书到期解决

kubelet签署证书到期解决

作者: 三杯水Plus | 来源:发表于2019-12-31 15:31 被阅读0次

现象
harbor镜像平台服务器出现内部错误,请求无法完成

排查
登陆dashboard发现node节点状态都为not ready,然后登陆node节点看到确实都为not ready ,本能反应是把kubelet、kube-proxy服务都重新一遍,重新后状态任然为notready状态。
这时细看nodes节点状态age为368d,感觉应该是什么过期了,之前还特意申请证书为10年,应该不是证书的问题,后来查阅部署文档发现kubelet也需要证书授权。

解决
最后kubectl get csr发现果然node-csr都是Pending状态,需要重新kubectl certificate approve才能生效。
查资料发现默认签署的的证书只有 1 年有效期,如果想要调整证书有效期可以通过设置 kube-controller-manager 的 --experimental-cluster-signing-duration 参数实现,该参数默认值为 8760h0m0s,关于怎样增加默认签署证书时间及自动证书轮换可以参考kubernetes认证授权机制

步骤

[root@k8s01 bin]# kubectl get nodes
NAME        STATUS     ROLES    AGE    VERSION
192.168.88.34   NotReady   <none>   368d   v1.13.1
192.168.88.65   NotReady   <none>   368d   v1.13.1
[root@k8s01 bin]#  kubectl get csr
NAME                                                   AGE   REQUESTOR           CONDITION
node-csr-d8End93rQqSFRHpV65KA2yL-4CnYHT4te6D85lzO5QA   18m   kubelet-bootstrap   Pending
node-csr-iuBw7qxuiCeyiQ1x5WqTASgqVheII-KpTX0L-S8Md8Y   10m   kubelet-bootstrap   Pending
[root@k8s01 bin]# kubectl certificate approve node-csr-d8End93rQqSFRHpV65KA2yL-4CnYHT4te6D85lzO5QA 
certificatesigningrequest.certificates.k8s.io/node-csr-d8End93rQqSFRHpV65KA2yL-4CnYHT4te6D85lzO5QA approved
[root@k8s01 bin]# kubectl certificate approve node-csr-iuBw7qxuiCeyiQ1x5WqTASgqVheII-KpTX0L-S8Md8Y
certificatesigningrequest.certificates.k8s.io/node-csr-iuBw7qxuiCeyiQ1x5WqTASgqVheII-KpTX0L-S8Md8Y approved
[root@k8s01 bin]#  kubectl get csr
NAME                                                   AGE   REQUESTOR           CONDITION
node-csr-d8End93rQqSFRHpV65KA2yL-4CnYHT4te6D85lzO5QA   19m   kubelet-bootstrap   Approved,Issued
node-csr-iuBw7qxuiCeyiQ1x5WqTASgqVheII-KpTX0L-S8Md8Y   11m   kubelet-bootstrap   Approved,Issued
[root@k8s01 bin]# kubectl get nodes
NAME        STATUS   ROLES    AGE    VERSION
192.168.88.34   Ready    <none>   368d   v1.13.1
192.168.88.65   Ready    <none>   368d   v1.13.1

相关文章

  • kubelet签署证书到期解决

    现象harbor镜像平台服务器出现内部错误,请求无法完成 排查登陆dashboard发现node节点状态都为not...

  • k8s-10-kubelet

    kubelet 签发证书 创建kubelet-csr.json cfssl命令签发kubelet证书 证书下发到需...

  • 教程 签署您的应用

    调试证书的有效期 用于针对调试签署 APK 的自签署证书的有效期为 365 天,从其创建日期算起。当此证书到期时,...

  • 监控Kubernetes集群证书过期时间的三种方案

    前言 Kubernetes 中大量用到了证书, 比如 ca证书、以及 kubelet、apiserver、prox...

  • kubeadm错误记录

    kubelet错误提示: 解决:修改/etc/systemd/system/kubelet.service.d/1...

  • kubeadm初始化 apiserver证书到期替换.md

    Kubernetes证书到期导致解决方法 由于使用kubeadm 初始化 k8s集群,默认签发的CA证书是1年有效...

  • kubernetes证书过期处理

    目录:1、证书过期时间查询2、证书过期处理2.1、客户端kubelet证书自动续期2.2、重新生成默认一年时长证书...

  • Kubelet 证书自动续期

    一、问题现象和原因 Kubernetes 日志错误 当 Kubernetes 集群日志中出现 certificat...

  • 使用freessl配置免费证书 Nginx

    前段时间,发现网站提示不安全,才发现是证书到期所致,因此在此记录解决过程 思路:1、先申请免费证书,得到pem和k...

  • K8S证书过期问题

    背景 通过 kubeadm 安装 K8S 集群时,生成的客户端证书会在1年后到期 解决步骤 查看证书过期时间在 m...

网友评论

    本文标题:kubelet签署证书到期解决

    本文链接:https://www.haomeiwen.com/subject/wfoboctx.html