kubeadm使用命令行更新apiserver的certSANs

已于 2025-07-13 14:54:35 修改
阅读量709 收藏 10
点赞数 5
CC 4.0 BY-SA版权
分类专栏: Ubuntu Cloud Native 文章标签: k8s kubeadm apiserver
于 2024-09-18 16:04:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43652666/article/details/142334247

背景

从合作伙伴那里接手了一套华为私有云上的kubeadm部署的k8s节点,单master节点,4个node。
短期任务:master高可用,剩余的机器加入至集群中
LB IP地址:10.17.3.79
master1 IP地址: 10.17.3.154

思路

私有云上有一个LB资源,考虑将扩容后的master节点上的apiserver服务绑定至lb上,做高可用。需要把apiserver得ca证书中的X509v3 Subject Alternative Name即SAN字段中添加lb的IP地址

遇到的问题:

由于集群中安装了kubesphere后,由kubeadm生成的cr被kubesphere的ks-install覆盖了,不能使用网上的传统的kubeadm导出配置文件,添加ip,重新应用至集群这种方法失效。

解决思路:
查阅RTFM可以使用参数--apiserver-cert-extra-sans解决

实施

先查看单节点中的apiserver的证书中是不包含lb的IP地址的

root@k8s-master01:/etc/kubernetes/pki
openssl x509 -in apiserver.crt -noout -text
            X509v3 Subject Alternative Name: 
                DNS:k8s-master01, DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster.local, IP Address:10.96.0.1, IP Address:10.17.3.154,

集群中已无kubeadm相关资源

root@k8s-master01:~# kubectl api-resources |grep kubeadm
# 输出结果为空
root@k8s-master01:~# kubectl api-resources |grep -i clusterconfig
clusterconfigurations               cc           installer.kubesphere.io/v1alpha1     true         ClusterConfiguration

这里输出的APIVERSION字段应该是kubeadm的,但被ks覆盖掉了

先移除证书

mkdir -pv /tmp/api-certs;mv /etc/kubernetes/pki/apiserver.{crt,key} /tmp/api-certs/

执行如下命令增加lb IP地址至san中

kubeadm init phase certs apiserver --apiserver-cert-extra-sans "10.17.3.79"

验证

root@k8s-master01:~# openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text
X509v3 Subject Alternative Name: 
                DNS:k8s-master01, DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster.local, IP Address:10.96.0.1, IP Address:10.17.3.154, IP Address:10.17.3.79

删除apiserver pod等待自动重建来实现重启

kubectl delete pod kube-apiserver-k8s-master01 -n kube-system

LB上配置监听端口,后端服务器组,后端服务器组业务端口
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

使用LB的IP地址添加其他master节点

kubeadm join 10.17.3.79:6443 --token 3y1wwy.ga3xxvjvh --discovery-token-ca-cert-hash sha256:624d766924e944ece611574aec334xx8d2f5 --node-name=10.17.3.42 --control-plane --certificate-key 2aecf278f5a16e244a707xxx028dbd13be22b84a7c1 --v=9

验证

root@k8s-master01:~# kubectl get node -o wide |grep 3.42
10.17.3.42     Ready                      control-plane   5d21h   v1.30.3   10.17.3.42    <none>        Ubuntu 18.04.3 LTS   4.15.0-70-generic   containerd://1.7.20

reference
https://kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm-init/
https://blog.csdn.net/weixin_44070095/article/details/125478908

Kubernetes(K8s) 安装(使用kubeadm安装Kubernetes集群)
隔壁老瓦的专栏
02-13 617
https://www.cnblogs.com/zhizihuakai/p/12629514.html 概述:   这篇文章是为了介绍使用kubeadm安装Kubernetes集群(可以用于生产级别)。使用了Centos 7系统。 PS:   篇幅有点长,但是比较详细、比较全面。(请注意文章最后分享的word文档,可以解决DNS的问题) 一、Centos7 配置说明 1.1 Firewalld(防火墙) CentOS Linux 7 默认开起来防火墙服务(firewalld),而Kube...
Kubernetes高可用集群搭建
AI天才研究院
09-15 2234
Kubernetes(简称K8s)是一个开源的容器集群管理系统,它提供了完整的容器化应用生命周期管理功能,能够轻松地部署和管理容器化应用,并提供稳定且可靠的运行环境。K8s提供了方便快捷的管理工具、自动化机制和API接口,也降低了用户的学习成本和上手难度。由于K8s采用Master-Slave架构设计,因此需要一个高可用的K8s集群才能保证服务的持续性和可用性。
kubeadmin部署的K8s集群证书更新方案
weixin_45912745的博客
02-11 1522
kubeadmin部署的K8s集群证书更新方案
kubeadm创建高可用kubernetes v1.12.0集群
beichun4557的博客
10-01 347
节点规划 主机名 IP Role k8s-master01 10.3.1.20 etcd、Master、Node、keepalived k8s-master02 10.3.1.21 etcd、Master、Node、keepalived k8s-master03 10.3.1.25 etcd、Master、Node、keepalived VIP 10.3.1.29 Non...
kubernetes证书证书过期和相关报错解决步骤
运维老生常谈
06-05 1082
任何关于证书报错的信息和日志仔细看,证书过期、 certSAN 不匹配和不是一套 ca 导致校验不通过等是不一样的事情,不要无脑找到啥证书文章博客就跟着瞎操作,证书操作前要备份已有证书,产生 kubeconfig 文件的时候,要使用 kubectl 指定新路径生成,不要动老的。k8s 采用的是基于 X.509 V3 标准的双向 SSL,客户端和服务端通信,都会验证双方证书,根据双方是否是一样的 CA 签署的证书,而 CA 私钥是自己生成的,你可以看到 k8s 组件的 cmdline 都有指定参数。
kubeadm 部署的 k8s 增加 ip 并重新生成证书
以梦为马|越骑越傻
08-20 2542
kubeadm 部署的 k8s 增加 ip 并重新生成证书
Kubernetes 证书详解
精选资讯文章
05-25 4891
Kubernetes 证书系统还是比较复杂的,主要是涉及到双向 TLS 认证,但是只要能够弄清楚组件之间相互调用的关系以及双向 TLS 认证原理,就比较容易弄明白 Kubernetes 证书了。以上主要是分析了 Kubernetes 集群中所有的证书和组件如何使用证书的,对于 Kube-apiserver 来说,我们只分析了 Kube-apiserver 如何根据证书进行认证,后续如何根据证书进行鉴权还没说。由于本篇篇幅较大,证书鉴权内容留到下一篇~
k8s高可用集群
qq_15138049的博客
01-17 608
k8s 高可用
Kubernetes-操作命令
cedsdvds的博客
03-20 1190
kubectl是k8s操作最直接渐变的途径基础格式:kubectl [command] [TYPE] [NAME] [flags]command 子命令TYPE 资源类型NAME 资源名称flags 命令参数。
使用kubeadm搭建高可用的K8s集群
qian0626的博客
06-09 334
1. 安装要求 在开始之前,部署Kubernetes集群机器需要满足以下几个条件: 一台或多台机器,操作系统 CentOS7.x-86_x64 硬件配置:2GB或更多RAM,2个CPU或更多CPU,硬盘30GB或更多 可以访问外网,需要拉取镜像,如果服务器不能上网,需要提前下载镜像并导入节点 禁止swap分区 2. 准备环境 角色 IP master1 10.30.59.204 master2 10.30.59.214 node1 10.30.59.224 VIP(虚拟ip)
kubeadm安装生产环境多master节点高可用集群
m0_51627713的博客
02-23 787
k8s环境规划:podSubnet(pod网段) 10.244.0.0/16serviceSubnet(service网段): 10.96.0.0/16操作系统:centos7.6或者centos7.9配置: 4Gib内存/4vCPU/60G硬盘网络:NATkubeadm和二进制安装k8s适用场景分析kubeadm是官方提供的开源工具,是一个开源项目,用于快速搭建kubernetes集群,目前是比较方便和推荐使用的。
kubeadm部署k8s-1.23.0高可用集群
小石潭记丶
06-17 454
是2014年由Google公司基于Go语言编写的一款开源的容器集群编排系统,用于自动化容器的部署、扩缩容和管理;是基于Google内部的Borg系统的特征开发的一个版本,集成了Borg系统大部分优势;Kubernetes除了k8s还有哪些容器编排系统?OpenshiftRancherMesos等。kubeadm是一个快速搭建kubernetes的集群工具。从官网下载每个组件的二进制包,依次去安装,部署麻烦。通过一些开源的工具搭建,例如:sealos。
Kubernetes网络资源镜像
08-22
Kubernetes镜像资源,搭建参考文档:https://blog.csdn.net/qq_33432713/article/details/81941188
kubesphere api证书
最新发布
07-26
KubeSphere API 证书的默认路径通常位于 Kubernetes 主节点的 `/etc/kubernetes/pki/apiserver.crt` 和 `/etc/kubernetes/pki/apiserver.key`,这些文件由 Kubernetes 的 `kubeadm` 工具生成和管理。 2. **证书...
K8S集群实践笔记-k8s集群搭建(arm64与amd64混搭)
Vv的博客
03-12 2780
注意要点: 1.国内关于k8s的各种资源连接被墙,在创建集群之前需要准备好各项资源 2.注意版本匹配的问题,具体可以在k8s官网查询 一、各节点安装docker arm64系统(armbain): curl -fsSL https://get.docker.com -o get-docker.sh sh get-docker.sh --mirror Aliyun docker版本检查: docker version amd64系统(ubuntu): /etc/apt/sources.lis
Kubernetes(K8s)使用 kubeadm 方式搭建多 master 高可用 K8s 集群
热门推荐
养歌的博客
07-26 1万+
以上就是搭建高可用k8s集群全部的内容,步骤讲解得非常详细,比较适合初学者学习,我们一起共同学习,共同进步。httpshttpshttpshttpshttpshttpshttpshttps。
如何优雅的通过 ApiServer 远程访问 Kubernetes 集群
easylife206的专栏
09-27 2864
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !在研发时,需要直接连接远端 Kubernetes 集群。通常的做法是,将 /etc/kubernetes/...
查看k8s证书过期时间:各组件
学亮编程手记
02-22 5121
[root@k8s-n0 kuboard-install]# kubeadm alpha certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml' [check-expi
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值