Kubernetes 认证(证书)过期怎么办
Kubernetes 中的认证
在Kubernetes cluster中,TLS认证是必要条件,也就是说在Kubernetes的各个节点间的通信必须走TLS加密来确保安全性(TLS 可以认为是SSL的升级)。
TLS的认证过程中要用证书,证书是有时效性的,证书过期后,TLS通信是被拒绝的。
Kubernetes认证过期的现象
- 首先,kubernetes cluster提供的服务突然不能用了,头一天还正常运行,第二天没做任何重新配置,重启,就是无法访问。
- 其次,使用kubectl 命令的时候出现:
xxxx:6443 was refused , did you specify the right host or port?
错误,这个错误说明,Kubernetes的apiserver没有启动。
3. 查看 Kubernetes的apiserver 的日志(/var/log/kube-apiserver.log),会发现如下循环出现的错误
authentication.go:63] "Unable to authenticate the request" err="[x509: certificate has expired or is not yet valid: 。。。
4.执行 kubeadm certs check-expiration
会得到认证及其期限的一览
解决办法
解决办法有很多,但是自己动手搭K8s的小伙伴大多是不可能买CA证书的,就是冲着免费去的。
所以,我也推荐大家直接使用K8s的命令更新证书,会延续一年的寿命。
kubeadm certs renew all
执行完命令后,reboot 控制节点的机器应该就解决了。
注:文中所述命令都是在kubernetes集群的控制节点上运行。如果权限不足,请sudo
关于Kubectl
更新Certification后 kubectl的认证用证书也需要更新。否则会出现如下错误
kubectl apply -f jenkins.yml error: You must be logged in to the server (the server has asked for the client to provide credentials)
把更新过的admin.conf给kubectl用即可,具体为:
把/etc/kubernetes/admin.conf copy到 ~/.kube/config 即可
参照:
https://kubernetes.io/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/
https://insujang.github.io/2019-12-18/kubernetes-authentication/