《Kubernets证书篇:基于Kylin V10+ARM架构CPU修改K8S 1.26.15版本证书时间限制》

东城绝神2024-04-16 14:26

一、背景

Kubernetes 默认的证书有效期只有1年,因此需要每年手动更新一次节点上面的证书,特别麻烦而且更新过程中可能会出现问题,因此我们要对 Kubernetes 的 SSL 证书有效期进行修改,这里将证书的时间限制修改为100年。

环境信息如下:

K8S版本 系统版本 CPU架构 内核版本
1.26.15 Kylin Linux Advanced Server V10 aarch64 4.19.90-17.5.ky10.aarch64

二、查看证书有效期

bash 复制代码 
[root@k8s-master-42 ~]# kubeadm certs check-expiration

如下图所示:

由上图可见,除了ca根证书,其他证书有效期都是1年。

三、go环境部署

由下图可见,需要安装go1.21.8版本。


操作步骤如下:

bash 复制代码 
# 1、安装go语言
[root@k8s-master-42 ~]# wget https://studygolang.com/dl/golang/go1.21.8.linux-arm64.tar.gz
[root@k8s-master-42 ~]# tar axf go1.21.8.linux-arm64.tar.gz -C /usr/local/
# 2、配置环境变量
[root@k8s-master-42 ~]# echo "export PATH=$PATH:/usr/local/go/bin" >> /etc/profile
# 3、环境变量生效命令
[root@k8s-master-42 ~]# source /etc/profile

四、下载K8S源码

bash 复制代码 
[root@k8s-master-42 ~]# mkdir -p /data/k8s-src && cd /data/k8s-src
[root@k8s-master-42 k8s-src]# wget https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.26.15.zip
[root@k8s-master-42 k8s-src]# unzip v1.26.15.zip

五、修改Kubeadm源码包更新证书策略

1、修改 NewSelfSignedCACert 方法的 NotAfter 为(100年): now.Add(duration365d * 100).UTC()

bash 复制代码 
[root@k8s-master-42 ~]# cd kubernetes-1.26.15
[root@k8s-master-42 kubernetes-1.26.15]# vim ./staging/src/k8s.io/client-go/util/cert/cert.go
                NotAfter:              now.Add(duration365d * 10).UTC(),

如下图所示:

2、修改 CertificateValidity 为: time.Hour * 24 * 365 * 100

bash 复制代码 
[root@k8s-master-42 kubernetes-1.26.15]# vim ./cmd/kubeadm/app/constants/constants.go
         CertificateValidity = time.Hour * 24 * 365 * 100

如下图所示:

3、执行编译

bash 复制代码 
[root@k8s-master-42 kubernetes-1.26.15]# make clean && KUBE_BUILD_PLATFORMS=linux/arm64 make all DBG=1 WHAT=cmd/kubeadm

如下图所示:

4、原证书备份

bash 复制代码 
[root@k8s-master-42 kubernetes-1.26.15]# cp -arp /etc/kubernetes /etc/kubernetes_`date +%F`
[root@k8s-master-42 kubernetes-1.26.15]# mv /usr/bin/kubeadm /usr/bin/kubeadm_`date +%F`
[root@k8s-master-42 kubernetes-1.26.15]# cp -a _output/bin/kubeadm /usr/bin

5、证书更新

bash 复制代码 
[root@k8s-master-42 kubernetes-1.26.15]# kubeadm certs renew all 
[root@k8s-master-42 kubernetes-1.26.15]# crictl pods --namespace kube-system --name 'kube-scheduler-*|kube-controller-manager-*|kube-apiserver-*|etcd-*' -q | /usr/bin/xargs crictl rmp -f
[root@k8s-master-42 kubernetes-1.26.15]# kubeadm certs check-expiration

如下图所示:

总结:整理不易,如果对你有帮助,可否点赞关注一下?

更多详细内容请参考:企业级K8s集群运维实战

相关推荐
Hfc.10 小时前
ubuntu20.04系统搭建k8s1.28集群-docker作为容器运行时
ubuntu·kubernetes
alden_ygq17 小时前
Kubernetes Horizontal Pod Autosscaler(HPA)核心机制解析
云原生·容器·kubernetes
格桑阿sir18 小时前
Kubernetes控制平面组件:Kubelet详解(三):CRI 容器运行时接口层
docker·kubernetes·containerd·kubelet·cri-o·容器运行时·cri
hwj运维之路1 天前
k8s监控方案实践(三):部署与配置Grafana可视化平台
云原生·kubernetes·grafana
和计算机搏斗的每一天1 天前
k8s之探针
云原生·容器·kubernetes
项目題供诗1 天前
黑马k8s(四)
云原生·容器·kubernetes
杰克逊的日记1 天前
大项目k8s集群有多大规模,多少节点,有多少pod
云原生·容器·kubernetes
小张童鞋。1 天前
k8s之k8s集群部署
云原生·容器·kubernetes
long_21451 天前
k8s中ingress-nginx介绍
kubernetes·ingress-nginx
luck_me51 天前
k8s v1.26 实战csi-nfs 部署
linux·docker·云原生·容器·kubernetes
热门推荐
01KGG转MP3工具|非KGM文件|解密音频02YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】03从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑04【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!05Coze扣子平台完整体验和实践(附国内和国际版对比)06DeepSeek各版本说明与优缺点分析07【解决】Android Gradle Sync 报错 Could not read workspace metadata08YOLOv5改进 | 添加CA注意力机制 + 增加预测层 + 更换损失函数之GIoU09苍穹外卖面试总结10组基轨迹建模 GBTM的介绍与实现(Stata 或 R)