k8s配置kubelet证书自动续期

最新推荐文章于 2025-07-27 17:55:17 发布
最新推荐文章于 2025-07-27 17:55:17 发布
阅读量373 收藏 5
点赞数 4
CC 4.0 BY-SA版权
分类专栏: k8s 文章标签: kubernetes kubelet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a772304419/article/details/149466594

Kubernetes 证书自动续期配置

对于已经安装的 Kubernetes 集群,可以通过配置 rotate-certificates 参数实现 kubelet 客户端证书的自动续期。以下是详细实现方法:

1. 确认当前 kubelet 配置

首先检查 kubelet 当前是否已启用证书自动续期:

ps -ef | grep kubelet | grep rotate-certificates

或者查看 kubelet 配置文件(通常位于 /var/lib/kubelet/config.yaml/etc/kubernetes/kubelet.conf):

grep rotateCertificates /var/lib/kubelet/config.yaml

2. 启用证书自动续期

对于 systemd 管理的 kubelet

  1. 编辑 kubelet 服务配置文件:
sudo vi /etc/systemd/system/kubelet.service.d/10-kubeadm.conf
  1. ExecStart 命令中添加或修改以下参数:
--rotate-certificates=true \
--cert-dir=/var/lib/kubelet/pki \
--feature-gates=RotateKubeletServerCertificate=true

完整示例:

ExecStart=/usr/bin/kubelet \
  $KUBELET_KUBECONFIG_ARGS \
  $KUBELET_CONFIG_ARGS \
  $KUBELET_KUBEADM_ARGS \
  $KUBELET_EXTRA_ARGS \
  --rotate-certificates=true \
  --cert-dir=/var/lib/kubelet/pki \
  --feature-gates=RotateKubeletServerCertificate=true
  1. 重新加载并重启 kubelet:
sudo systemctl daemon-reload
sudo systemctl restart kubelet

对于 kubeadm 部署的集群

kubeadm 从 1.15 版本开始默认启用客户端证书自动续期,你只需确保:

  1. 检查 kubeadm 配置:
kubeadm config view | grep certificate
  1. 如果需要修改,可以导出配置:
kubeadm config print init-defaults > kubeadm-config.yaml

然后编辑该文件,确保有以下内容:

apiVersion: kubeadm.k8s.io/v1beta3
kind: ClusterConfiguration
controllerManager:
  extraArgs:
    cluster-signing-duration: 87600h # 10年有效期
    feature-gates: RotateKubeletServerCertificate=true

3. 验证自动续期功能

  1. 检查 kubelet 当前使用的证书:
ls -l /var/lib/kubelet/pki/
  1. 查看证书过期时间:
openssl x509 -in /var/lib/kubelet/pki/kubelet-client-current.pem -noout -dates
  1. 观察证书续期日志:
journalctl -u kubelet -f | grep certificate

4. 其他相关配置

为了确保自动续期正常工作,还需要以下配置:

  1. Controller Manager 配置

    • 确保 controller manager 启用了证书签名功能
    • 相关参数:
      --cluster-signing-cert-file=/etc/kubernetes/pki/ca.crt
--cluster-signing-key-file=/etc/kubernetes/pki/ca.key
--feature-gates=RotateKubeletServerCertificate=true

  2. RBAC 权限
    确保 system:node 组有更新证书的权限:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: auto-approve-renewals-for-nodes
subjects:
- kind: Group
  name: system:nodes
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: system:certificates.k8s.io:certificatesigningrequests:selfnodeclient
  apiGroup: rbac.authorization.k8s.io

5. 注意事项

  1. 自动续期仅适用于 kubelet 客户端证书(kubelet-client-current.pem)
  2. 服务器证书(kubelet.crt)需要额外配置 RotateKubeletServerCertificate 特性门控
  3. 主控制平面组件(apiserver、controller-manager、scheduler)的证书不适用此自动续期机制
  4. 证书续期依赖于集群的证书签名请求 (CSR) 审批机制正常工作

通过以上配置,kubelet 会在证书到期前自动创建新的证书签名请求,并由 Kubernetes 自动审批,实现无缝证书轮换。

kubeadm部署k8s 证书升级和 kubelet证书自动续期
weixin_38582858的博客
08-27 884
vi /etc/kubernetes/manifests/kube-controller-manager.yaml //文件中添加一下两行。配置完成后,重启kube-controller-manager pod使之生效。默认kubelet证书轮询已启用。
k8s1.19.1证书续期(etcd外设版)
weixin_50763319的博客
06-21 1360
• 工作节点:工作节点主要是指kubelet连接apiserver所需的客户端证书,这个证书由controller-manager组件自动颁发,默认是一年,如果到期,kubelet将无法使用过期的证书连接apiserver,从而导致无法正常工作,日志会_kubelet-client-2023-01-18-22-31-02.pem。Kubernetes Kubeadm Kubelet 证书自动续签_kubelet-client-2023-01-18-22-31-02.pem-CSDN博客。
Kubelet证书自动续签(为kubelet配置证书轮换)
weixin_33011357的博客
09-12 353
1、概述   Kubelet 使用证书进行 Kubernetes API 的认证。 默认情况下,这些证书的签发期限为一年,所以不需要太频繁地进行更新。Kubernetes 包含特性 Kubelet 证书轮换, 在当前证书即将过期时, 将自动生成新的秘钥,并从 Kubernetes API 申请新的证书。 一旦新的证书可用,它将被用于与 Kubernetes API 间的连接认证。 注意:要求...
Kubelet 证书自动续期
qq_24794401的博客
11-25 2886
一、问题现象和原因 Kubernetes 日志错误 当 Kubernetes 集群日志中出现 certificate has expired or is not yet valid 错误信息时,表明证书过期 证书过期原因 服务器时间不对,导致证书过期 确实证书过期了 证书过期,很多同学会很疑惑,我证书明明签署10年有效期或者更久,怎么刚1年就过期了,下面就来解惑。 Kubernetes 集群证...
k8s kubeadm高可用集群证书续期
ApexPredator的博客
06-14 2835
k8s kubeadm高可用集群证书续期
部署Node节点 配置kubelet证书自动申请 CSR、审核及自动续期
码农崛起
02-09 5454
apiserver 预先放置 token.csv,内容样例如下,master节点的token格式 id,用户名,编号,组 [root@localhost cfg]# cat token.csv d3f6263fa65e375967541947834b3988,kubelet-bootstrap,10001,"system:kubelet-bootstrapper" 允许 kubelet-bootstrap 用户创建首次启动的 CSR 请求 和RBAC授权规则 kubectl create ...
K8s中TSL证书如何续期
舒一笑的博客
10-24 1340
CA 证书的有效期一般较长(通常为 10 年),主要是因为更换 CA 证书的影响较大,涉及到重新签发和更新集群中所有其他证书的过程,维护成本较高。会自动创建一个自签名的 CA(Certificate Authority,证书颁发机构)证书,并基于该 CA 生成 API Server、kubelet、etcd 等组件所需的其他证书。在 Kubernetes (K8s) 集群中,证书的生成方式取决于你使用的安装方法和具体的需求。:在现代 Kubernetes 版本中,集群组件的证书支持自动轮换。
k8s kubeadm 部署证书续期
qq_36270681的博客
02-03 3853
k8s 证书分为2套,一套是apiserver 和etcd 管理节点:如果是kubeadm 部署则自动生成,二进制一般由cfssl 或者openssl 工作节点: 工作节点主要指kubelet 连接apiserver 所需的客户端证书,这个证书是由controller-manager组件自动颁发,默认是一年,如果到期,kubelet 将无法使用过期的证书连接apiserver,日志将会报错 (x509:certificate has expired or is not yet valid) 红线:
k8s证书过期,更新后kubelet启动失败
jiazhenming的博客
05-28 941
k8s证书过期
k8s证书修改为10年文件
06-13
2. **配置证书生命周期控制器**:k8s中的`cert-manager`或`kube-cert-manager`等插件可以帮助自动证书的管理和更新。你需要更新这些控制器的配置,设置更长的证书续签策略。例如,在`cert-manager`的`...
kubeadm部署的K8S集群证书过期更新操作步骤
学如逆水行舟,不进则退!
10-06 600
【代码】kubeadm部署的K8S集群证书过期更新操作步骤。
k8s证书管理
qq_64057406的博客
09-17 554
在使用 Kubernetes 时,kubeadm 是官方推荐的初始化和管理 Kubernetes 集群的工具。证书管理是 Kubernetes 集群安全性的重要组成部分,kubeadm 提供了一些工具来帮助用户管理和更新集群中的证书
K8S 八 数据存储-高级存储PV PVC 生命周期;配置存储ConfigMap Secret
Lyndon的专栏
07-27 281
K8S 数据存储 PV和PVC
云原生 —— K8s 容器编排系统
weixin_56631477的博客
07-25 885
Kubernetes,也称为K8s,是一个开源的容器编排系统,用于自动部署、扩展和管理容器化应用程序,帮助开发者更高效地跨集群管理应用。本文总结了 k8s 的基础概念和技术架构。
Kubernetes配置管理
h3309869136的博客
07-25 1132
在传统架构中,配置文件往往被保存在宿主机上,程序启动是可以指定某个配置文件,但是使用容器部署时,容器所在的节点并不固定,所以不能使用这种方式,此处在构建镜像时,如果把配置文件也放在容器里面,那么配置文件一旦有更改的话,也是一件非常麻烦的事情。所以k8s 抽象了一个configMap的概念,将配置与 pod 和组件分开,这有助于保持工作负载的可移植性,使配置更易于更改和管理。比如在生产环境中,可以将 Nginx、Redis 等应用的配置文件存储在 configMap 上,然后将其挂载即可使用。
k8s的csi对接GPFS
最新发布
weixin_42795092的博客
07-27 1007
通过 CSI 将 GPFS 接入 k8s,可让 Pod 直接使用 GPFS 的共享存储,满足高并发、大容量的存储需求,同时利用 k8s 的编排能力实现存储的动态管理。通过 PVC(PersistentVolumeClaim)申请存储,k8s 会基于 StorageClass 自动创建 PV,并绑定到 PVC。(Controller Plugin,部署为 StatefulSet,负责存储分配、PV 管理)和。(Node Plugin,部署为 DaemonSet,负责节点上的存储挂载)。
k8s的存储卷
sky学linux的博客
07-27 585
configMapemptyDirhostPathconfigMapsecretnfsglusterfs1.:与 Pod 绑定,Pod 删除时数据销毁。:默认使用节点磁盘,可设置为内存(tmpfs:Pod 内多个容器间共享临时数据,但仅限同一pod。2.用法。
k8s开启审计日志
平庸
07-25 355
摘要:Kubernetes默认关闭审计功能,需在apiserver中手动开启。首先创建审计策略文件audit-policy.yaml定义日志记录规则,如PVC和命名空间操作。然后修改kube-apiserver.yaml配置,添加审计策略路径、日志存储路径、日志保留等参数,并挂载相关卷到pod中。最后重启apiserver使配置生效,即可在指定路径查看JSON格式的审计日志。该功能可记录用户操作,便于集群行为监控和问题排查。
k8s的nodeport和ingress
sky学linux的博客
07-26 244
k8s的几个port
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

学亮编程手记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值