证书一共分为
-
根CA(ca.crt)
-
master各组件的证书(包括etcd、apiserver、front-proxy、controller-manager等各种)
-
kubelet证书
k8s证书有效期说明:
1、原生版本有效期master节点:
/etc/kubernetes/ssl/apiserver.crt #1年有效期
/etc/kubernetes/ssl/front-proxy-ca.crt #10年有效期
/etc/kubernetes/ssl/ca.crt #10年有效期
/etc/kubernetes/ssl/front-proxy-client.crt #1年有效期
/etc/kubernetes/ssl/etcd/ca.pem #10年有效期
/etc/kubernetes/ssl/apiserver-kubelet-client.crt #1年有效期node节点:
/var/lib/kubelet/pki/kubelet-client-current.pem #1年有效期2、DET K8S版本(注意采用邮件发的新包,20190821及之前版本可能存在node节点kubelet证书等问题)master节点:
/etc/kubernetes/ssl/apiserver.crt #10年有效期
/etc/kubernetes/ssl/front-proxy-ca.crt #100年有效期
/etc/kubernetes/ssl/ca.crt #100年有效期
/etc/kubernetes/ssl/front-proxy-client.crt #10年有效期
/etc/kubernetes/ssl/etcd/ca.pem #10年有效期
/etc/kubernetes/ssl/apiserver-kubelet-client.crt #10年有效期node节点:
/var/lib/kubelet/pki/kubelet-client-current.pem #10年有效期3、证书有效期查看命令master节点:
for i in $(find /etc/kubernetes -type f -name "*.crt");do echo "crt: $i" && openssl x509 -in $i -noout -text|grep Not; done
for i in $(find /etc/kubernetes -type f -name "*.pem");do echo "crt: $i" && openssl x509 -in $i -noout -text|grep Not; donenode节点:
openssl x509 -in /var/lib/kubelet/pki/kubelet-client-current.pem -noout -dates
其中,根CA和master各组件证书默认已经改成了100年,kubelet证书改成了10年且有自动轮换
在一些用老包部署的环境里,可能出现证书过期问题,需要按如下操作解决证书问题。
检查
全部证书过期时间检查命令
master节点:
for i in $(find /etc/kubernetes -type f -name "*.crt");do echo "crt: $i" && openssl x509 -in $i -noout -text|grep Not; done
for i in $(find /etc/kubernetes -type f -name "*.pem");do echo "crt: $i" && openssl x509 -in $i -noout -text|grep Not; done
node节点:
openssl x509 -in /var/lib/kubelet/pki/kubelet-client-current.pem -noout -dates
场景1、集群整体证书已经到期
说明:证书更新会影响到K8s和docker服务,业务服务会出现一段时间不对外提供服务
0.替换所有节点的kubeadm二进制,默认是1年的二进制文件
注意,这里是k8s1.12版本的kubeadm,如果需要1.16或者1.18版本的kubeadm自行下载
mv /usr/local/bin/kubeadm /usr/local/bin/kubeadm-bak #备份旧的kubeadm
cp kubeadm /usr/local/bin/kubeadm #将新的kubeadm二进制文件放到对应位置
chmod +x /usr/local/bin/kubeadm
1.在第一个master节点更换证书和配置
-
备份/etc/kubernetes/ssl目录,生成新证书,然后把etcd证书拷贝到此目录
cp -r /etc/kubernetes/ssl /etc/kubernetes/ssl-bak
## 根据不同版本执行不同的证书更新命令
## 如默认1.12版本使用如下命令
kubeadm alpha phase certs all --config /etc/kubernetes/kubeadm-config.v1alpha3.yaml
## 如1.16版本执行
kubeadm alpha certs renew all --config /etc/kubernetes/kubeadm-config.yaml
cp -r /etc/ssl/etcd/ssl/ /etc/kubernetes/ssl/etcd/
2. 然后把第一台master节点的证书拷贝到其他的master节点
3. 在所有master节点操作如下
-
备份旧.conf文件,重新生成.conf文件,并拷贝到/root/.kube/config
cd /etc/kubernetes ls |grep conf$ | xargs -I{} mv /etc/kubernetes/{} {}.bak ## 根据不同版本执行不同的证书更新命令 ## 如默认1.12版本使用如下命令 kubeadm alpha phase kubeconfig all --config /etc/kubernetes/kubeadm-config.v1alpha3.yaml## 如1.16版本执行: kubeadm alpha kubeconfig user --client-name=admin kubeadm alpha kubeconfig user --org system:masters --client-name kubernetes-admin > /etc/kubernetes/admin.conf kubeadm alpha kubeconfig user --client-name system:kube-controller-manager > /etc/kubernetes/controller-manager.conf kubeadm alpha kubeconfig user --org system:nodes --client-name system:node:$(hostname) > /etc/kubernetes/kubelet.conf kubeadm alpha kubeconfig user --client-name system:kube-scheduler > /etc/kubernetes/scheduler.confcp /etc/kubernetes/admin.conf /root/.kube/config
重启 systemctl restart kubelet &&systemctl restart docker
4.在第一台master节点操作重新生成token(如果集群中只有master节点,或者只有master与node节点混合的节点,则不需要操作第4点)
-
将ca证书拷贝到node节点,并将node重新加入集群(注意这里的node节点是非master节点,不需要对既是master节点又是node节点进行操作)
$ scp /etc/kubernetes/ssl/ca.crt root@[node节点]:/etc/kubernetes/ssl/ $ kubectl delete nodes [worker-nodes] $ kubeadm token create --config /etc/kubernetes/kubeadm-config.v1alpha3.yaml
-
需要更新kubeadm cluster-info
-
$ kubeadm alpha phase bootstrap-token cluster-info --kubeconfig /etc/kubernetes/admin.conf [bootstraptoken] creating the "cluster-info" ConfigMap in the "kube-public" namespace
5. 在node节点(非master节点,不需要对既是master节点又是node节点进行操作)
备份bootstrap-kubelet.conf和kubelet.conf
cd /etc/kubernetes/
mv kubelet.conf kubelet.conf.bak
mv bootstrap-kubelet.conf bootstrap-kubelet.conf.bak
将新生成的token更新到/etc/kubernetes/kubeadm-client.v1alpha3.conf
discoveryToken: 55ovb3.up3t22u5a0c9p1sy
tlsBootstrapToken: 55ovb3.up3t22u5a0c9p1sy
token: 55ovb3.up3t22u5a0c9p1sy
在node节点,重新加入到集群
$ kubeadm join --config /etc/kubernetes/kubeadm-client.v1alpha3.conf --ignore-preflight-errors=all
以上所有操作在所有节点完成之后,在master节点确认
kubectl get nodes显示node Ready,然后再进行以下操作
6.在ansible controller节点上操作(需要使用最新的kubespray代码)最新地址:http://10.130.22.17:8000/kubespray/kubespray-code-20200508.tgz
修改hosts.ini和environment.yml(将之前的hosts.ini和environment.yml替换新代码库里的对应文件)-注意老的代码库里的enviroment文件修改为environment.yml文件
更新完成之后,需要更新k8s集群所有的secret,要不然pod会因为token失效连接不到证书
tar -zxvf kubespray-code-20200508.tgz
cd kubespray/
ansible-playbook -i inventory/mycluster/hosts.ini recover.yml --become --become-user=root -e @environment.yml -e gpu_share_enabled=false --tags rotate_tokens
默认会把kubespray自带的组件进行更新,业务组件需要业务人员进行手动查看token是否过期,如果过期则进行kubectl delete secret xxx重建
场景2、只node节点kubelet证书到期或者即将到期,其他证书都没问题
加上客户端证书自动轮换的配置,默认情况下客户端的证书是1年的、如下操作之后证书为10年。
更新客户端的证书为证书轮换策略(若没有纯node节点则不需要进行以下操作)
k8s 1.8之后增加客户端证书自动轮换,在有效期70%-90%这个区间,也就是大概剩下37-110天(大致1-3个多月)的有效期之间,kubelet 会使用其初始证书连接到 Kubernetes API ,并发送证书签名的请求
openssl x509 -in /var/lib/kubelet/pki/kubelet-client-current.pem -noout -dates
2、验证所有节点kubelet有无开启证书自动轮换
在所有节点验证如下配置
## 执行如下命令,看输出是否有:rotateCertificates: true
cat /var/lib/kubelet/config.yaml |grep rotateCertificates
如果有,则不需要添加如下配置直接进行第三步即可。
如果没有,需要编辑/etc/kubernetes/kubelet.env增加,
--feature-gates=RotateKubeletClientCertificate=true \
--rotate-certificates=true \
3、选取一个master节点生成永久不失效token
首先生成一个新的token,记录这个token后面会用,生成之前需要配置token有效期为forever
-
使用客户端证书轮换必须保证配置中token为有效的。
-
图中1画圈的为添加部分最终效果如图:
vim /etc/kubernetes/kubeadm-config.v1alpha3.yaml ## 如果没有bootstrapTokens,则需要添加如下内容bootstrapTokens部分;如果有,则修改其中内容ttl: "0" apiVersion: kubeadm.k8s.io/v1alpha3 bootstrapTokens: - groups:- system:bootstrappers:kubeadm:default-node-tokenttl: "0"usages:- signing- authentication## 生成token kubeadm token create --config /etc/kubernetes/kubeadm-config.v1alpha3.yaml ## 查看TTL失效为 forever 见图2 kubeadm token list
4、在所有node节点替换token
vim /etc/kubernetes/bootstrap-kubelet.conf ## 前面是旧token /斜线后面是第一步生成的token替换一下 , 新token失效一定要是永久的要不然没有 :$s/dpcrb8.xj5ukm9y904kr1nl/3rqf1x.3sdbxo8vein3br2o/g## 如果不存在/etc/kubernetes/bootstrap-kubelet.conf该文件,则执行cp /etc/kubernetes/kubelet.conf /etc/kubernetes/bootstrap-kubelet.conf,然后vim /etc/kubernetes/bootstrap-kubelet.conf修改下面contexts和users部分 apiVersion: v1 clusters: - cluster:certificate-authority-data: xxxserver: xxxname: cluster.local contexts: - context:cluster: cluster.localuser: tls-bootstrap-token-username: tls-bootstrap-token-user@cluster.local current-context: tls-bootstrap-token-user@cluster.local kind: Config preferences: {} users: - name: tls-bootstrap-token-useruser:token: 3rqf1x.3sdbxo8vein3br2o
重启kubelet
systemctl daemon-reload
systemctl restart kubelet
5、修改controller-manager自动轮换的证书签署时间
在所有master节点操作
编辑/etc/kubernetes/manifests/kube-controller-manager.yaml增加签署时间,默认为8760,这里把签署时间改为10年
- --experimental-cluster-signing-duration=87600h0m0s
重启kubelet和controller-manager
systemctl daemon-reload
systemctl restart kubelet## 检查controller-manager有无重启,没有则手动delete或者docker操作下触发重启,操作如下:
kubectl get po -n kube-system|grep controller-manager
kubectl delete po {查询到的所有controller-manager pod name} -n kube-system
6、备份并让controller-manager重新生成kubelet证书
在所有node节点操作
cd /var/lib/kubelet/pki && mkdir bak-kubelet-client
mv kubelet-client-* bak-kubelet-client/
systemctl restart kubelet