k8s重新编译kubeadm解决证书过期问题
问题说明
kubeadm 是 kubernetes 提供的一个初始化集群的工具,使用起来非常方便。但是它创建的apiserver、controller-manager等证书默认只有一年的有效期,同时kubelet 证书也只有一年有效期,一年之后 kubernetes 将停止服务。 官方推荐一年之内至少用 kubeadm upgrade 更新一次 kubernetes 系统,更新时也会自动更新证书。不过,生产环境或者无法连接外网的环境频繁更新 kubernetes 不太现实。
重新编译kubeadm
这里测试了三个版本的k8s,一个是v1.15.1, v1.15.3, v1.16.3,都适用
下载k8s源码
直接google搜索kubernetes github去下载即可
修改源码
进到源码目录中,需要修改两处地方 第一个地方:
# vim ./staging/src/k8s.io/client-go/util/cert/cert.go
NotAfter: now.Add(duration365d * 10).UTC(), //默认为10年,修改为100年,不能超过1000年,因为我试过不行第二个地方:
# vim ./cmd/kubeadm/app/constants/constants.go
CertificateValidity = time.Hour * 24 * 365 * 100 //改为这里的值重新编译kubeadm
这里通过docker容器的方式去编译
docker run --rm -it -v /tmp/kubernetes/:/go/src/k8s.io/kubernetes mirrorgooglecontainers/kube-cross:v1.12.10-1 bash
#进入容器
cd /go/src/k8s.io/kubernetes
make all WHAT=cmd/kubeadm GOFLAGS=-v替换旧的kubeadm
新生成的kubeadm会在./_output/local/bin/linux/amd64/kubeadm这个路径下
把旧的做好备份,还有/etc/kubernetes/pki也备份下
cp ./_output/local/bin/linux/amd64/kubeadm /usr/bin/kubeadm执行命令更新证书
#更新证书
kubeadm alpha certs renew all
#查看证书时间
kubeadm alpha certs check-expiration本文参与 腾讯云自媒体分享计划,分享自作者个人站点/博客。
原始发表:2020-03-10,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读