kubeadm renew更新證書(shū)后昔头,master依舊過(guò)期

背景

kubernetes: 1.16.3

master: 3臺(tái)

采用kubeadm部署,在證書(shū)還有30天以上時(shí)影兽,使用kubeadm alpha certs renew all更新所有證書(shū)揭斧,以為萬(wàn)無(wú)一失,但是到原有的證書(shū)過(guò)期時(shí)間峻堰,發(fā)現(xiàn)API異常告警讹开。

問(wèn)題

api-server日志:

E0721 08:09:28.129981       1 available_controller.go:416] v1beta1.custom.metrics.k8s.io failed with: failing or missing response from https://10.244.69.146:6443/apis/custom.metrics.k8s.io/v1beta1: bad status from https://10.244.69.146:6443/apis/custom.metrics.k8s.io/v1beta1: 401
E0721 08:09:28.133091       1 available_controller.go:416] v1beta1.custom.metrics.k8s.io failed with: failing or missing response from https://10.244.69.146:6443/apis/custom.metrics.k8s.io/v1beta1: bad status from https://10.244.69.146:6443/apis/custom.metrics.k8s.io/v1beta1: 401
E0721 08:09:28.133460       1 available_controller.go:416] v1beta1.metrics.k8s.io failed with: failing or missing response from https://10.244.8.165:4443/apis/metrics.k8s.io/v1beta1: bad status from https://10.244.8.165:4443/apis/metrics.k8s.io/v1beta1: 401
E0721 08:09:28.135093       1 available_controller.go:416] v1beta1.metrics.k8s.io failed with: failing or missing response from https://10.244.8.165:4443/apis/metrics.k8s.io/v1beta1: bad status from https://10.244.8.165:4443/apis/metrics.k8s.io/v1beta1: 401
E0721 08:09:28.139986       1 available_controller.go:416] v1beta1.custom.metrics.k8s.io failed with: failing or missing response from https://10.244.69.146:6443/apis/custom.metrics.k8s.io/v1beta1: bad status from https://10.244.69.146:6443/apis/custom.metrics.k8s.io/v1beta1: 401
E0721 08:09:28.141188       1 available_controller.go:416] v1beta1.custom.metrics.k8s.io failed with: failing or missing response from https://10.244.69.146:6443/apis/custom.metrics.k8s.io/v1beta1: bad status from https://10.244.69.146:6443/apis/custom.metrics.k8s.io/v1beta1: 401
E0721 08:09:28.143084       1 available_controller.go:416] v1beta1.metrics.k8s.io failed with: failing or missing response from https://10.244.8.165:4443/apis/metrics.k8s.io/v1beta1: bad status from https://10.244.8.165:4443/apis/metrics.k8s.io/v1beta1: 401

解決思路

1.kubectl無(wú)法使用,顯示證書(shū)過(guò)期或者失效捐名,隨即

$ kubectl get node
Unable to connect to the server: x509: certificate has expired or is not yet valid

2.隨即將/etc/kubernetes/admin.conf復(fù)制~/.kube/conf旦万,執(zhí)行命令后,還是返回步驟1的錯(cuò)誤镶蹋,隨即意識(shí)到是api-server的問(wèn)題成艘。

3.檢查pki木塊下的所有證書(shū)過(guò)期時(shí)間

$ for i in $(ls *.crt); do echo "===== $i ====="; openssl x509 -in $i -text -noout | grep -A 3 'Validity' ; done
===== apiserver.crt =====
        Validity
            Not Before: Jul 21 08:08:33 2020 GMT
            Not After : Apr 14 05:58:54 2022 GMT
        Subject: CN=kube-apiserver
===== apiserver-kubelet-client.crt =====
        Validity
            Not Before: Jul 21 08:08:33 2020 GMT
            Not After : Apr 14 06:00:03 2022 GMT
        Subject: O=system:masters, CN=kube-apiserver-kubelet-client
===== ca.crt =====
        Validity
            Not Before: Jul 21 08:08:33 2020 GMT
            Not After : Jul 19 08:08:33 2030 GMT
        Subject: CN=kubernetes
===== front-proxy-ca.crt =====
        Validity
            Not Before: Jul 21 08:08:34 2020 GMT
            Not After : Jul 19 08:08:34 2030 GMT
        Subject: CN=front-proxy-ca
===== front-proxy-client.crt =====
        Validity
            Not Before: Jul 21 08:08:34 2020 GMT
            Not After : Apr 14 06:00:40 2022 GMT
        Subject: CN=front-proxy-client

4.pki下證書(shū)檢測(cè)均沒(méi)有過(guò)期,問(wèn)題就很明顯贺归,出在正在運(yùn)行的container上淆两,重啟kubelet無(wú)法解決問(wèn)題

5.重啟kulet并不會(huì)重建container

systemctl stop kubelet
docker ps -q | xargs docker stop
df -Th | grep "docker" | awk '{print $NF}' | xargs umount
df -Th | grep "kubelet" | awk '{print $NF}' | xargs umount
docker ps -a -q | xargs docker rm
systemctl restart kubelet

6.重啟后,發(fā)現(xiàn)除了主控制節(jié)點(diǎn)(kubeadm init的第一臺(tái)服務(wù)器)牧氮,其余master節(jié)點(diǎn)都恢復(fù)正常

7.查看報(bào)錯(cuò)信息琼腔,主控制節(jié)點(diǎn)上的kubelet無(wú)法啟動(dòng)

Jul 21 17:53:03 master001 kubelet[23047]: E0721 17:53:03.545713   23047 bootstrap.go:250] unable to load TLS configuration from existing bootstrap client config: tls: private key does not match public key
Jul 21 17:53:03 master001 kubelet[23047]: F0721 17:53:03.545749   23047 server.go:271] failed to run Kubelet: unable to load bootstrap kubeconfig: stat /etc/kubernetes/bootstrap-kubelet.conf: no such file or directory

8.對(duì)比其他集群,發(fā)現(xiàn)均沒(méi)有/etc/kubernetes/bootstrap-kubelet.conf文件

9.隨即針對(duì)kubelet進(jìn)行檢查

$ cat /usr/lib/systemd/system/kubelet.service.d/10-kubeadm.conf
# Note: This dropin only works with kubeadm and kubelet v1.11+
[Service]
Environment="KUBELET_KUBECONFIG_ARGS=--bootstrap-kubeconfig=/etc/kubernetes/bootstrap-kubelet.conf --kubeconfig=/etc/kubernetes/kubelet.conf"

kubelet在啟動(dòng)時(shí)踱葛,會(huì)優(yōu)先讀取kubelet.conf丹莲,當(dāng)kubelet不可用時(shí)光坝,才讀取bootstrap-kubelet.conf

10.對(duì)比住控制節(jié)點(diǎn)上的kubelet.conf發(fā)現(xiàn)
主控制節(jié)點(diǎn)

users:
- name: system:node:master001
  user:
    client-certificate-data: *****
    client-key-data: *****

***** 為加密值
其他主控節(jié)點(diǎn)

users:
- name: default-auth
  user:
    client-certificate: /var/lib/kubelet/pki/kubelet-client-current.pem
    client-key: /var/lib/kubelet/pki/kubelet-client-current.pem

可以看到直接讀取的文件,在首個(gè)master節(jié)點(diǎn)初始化集群時(shí)甥材,kubelet還沒(méi)加入集群盯另,也就沒(méi)法生成這個(gè)文件,所以直接用的加密值洲赵,我們只需要手動(dòng)更改即可鸳惯。

11.重啟首臺(tái)master,集群全部恢復(fù)正常

總結(jié)

1.kubeadm renew在更新證書(shū)后叠萍,api-server芝发,controller,schedule并不會(huì)重載證書(shū)文件苛谷,需要重建container辅鲸。
2.主控制節(jié)點(diǎn)的kubelet.conf中使用的加密值,并不是文件腹殿,而且kubeadm renew也不會(huì)更新這個(gè)文件独悴,所以需要手動(dòng)操作。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末锣尉,一起剝皮案震驚了整個(gè)濱河市刻炒,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌自沧,老刑警劉巖坟奥,帶你破解...
    沈念sama閱讀 222,729評(píng)論 6 517
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場(chǎng)離奇詭異暂幼,居然都是意外死亡筏勒,警方通過(guò)查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,226評(píng)論 3 399
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門(mén)旺嬉,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái),“玉大人厨埋,你說(shuō)我怎么就攤上這事邪媳。” “怎么了荡陷?”我有些...
    開(kāi)封第一講書(shū)人閱讀 169,461評(píng)論 0 362
  • 道士緝兇錄:失蹤的賣(mài)姜人
    文/不壞的土叔 我叫張陵雨效,是天一觀的道長(zhǎng)。 經(jīng)常有香客問(wèn)我废赞,道長(zhǎng)徽龟,這世上最難降的妖魔是什么? 我笑而不...
    開(kāi)封第一講書(shū)人閱讀 60,135評(píng)論 1 300
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任唉地,我火速辦了婚禮据悔,結(jié)果婚禮上传透,老公的妹妹穿的比我還像新娘。我一直安慰自己极颓,他們只是感情好朱盐,可當(dāng)我...
    茶點(diǎn)故事閱讀 69,130評(píng)論 6 398
  • 惡毒庶女頂嫁案:這布局不是一般人想出來(lái)的
    文/花漫 我一把揭開(kāi)白布。 她就那樣靜靜地躺著菠隆,像睡著了一般兵琳。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上骇径,一...
    開(kāi)封第一講書(shū)人閱讀 52,736評(píng)論 1 312
  • 城市分裂傳說(shuō)
    那天躯肌,我揣著相機(jī)與錄音,去河邊找鬼破衔。 笑死清女,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的运敢。 我是一名探鬼主播校仑,決...
    沈念sama閱讀 41,179評(píng)論 3 422
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開(kāi)眼,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼传惠!你這毒婦竟也來(lái)了迄沫?” 一聲冷哼從身側(cè)響起,我...
    開(kāi)封第一講書(shū)人閱讀 40,124評(píng)論 0 277
  • 萬(wàn)榮殺人案實(shí)錄
    序言:老撾萬(wàn)榮一對(duì)情侶失蹤卦方,失蹤者是張志新(化名)和其女友劉穎羊瘩,沒(méi)想到半個(gè)月后,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體盼砍,經(jīng)...
    沈念sama閱讀 46,657評(píng)論 1 320
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡尘吗,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 38,723評(píng)論 3 342
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年寺擂,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了源譬。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 40,872評(píng)論 1 353
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡跨蟹,死狀恐怖近刘,靈堂內(nèi)的尸體忽然破棺而出擒贸,到底是詐尸還是另有隱情,我是刑警寧澤觉渴,帶...
    沈念sama閱讀 36,533評(píng)論 5 351
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布介劫,位于F島的核電站,受9級(jí)特大地震影響案淋,放射性物質(zhì)發(fā)生泄漏座韵。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 42,213評(píng)論 3 336
  • 男人毒藥:我在死后第九天來(lái)索命
    文/蒙蒙 一踢京、第九天 我趴在偏房一處隱蔽的房頂上張望誉碴。 院中可真熱鬧宦棺,春花似錦、人聲如沸翔烁。這莊子的主人今日做“春日...
    開(kāi)封第一講書(shū)人閱讀 32,700評(píng)論 0 25
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)蹬屹。三九已至侣背,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間慨默,已是汗流浹背贩耐。 一陣腳步聲響...
    開(kāi)封第一講書(shū)人閱讀 33,819評(píng)論 1 274
  • 情欲美人皮
    我被黑心中介騙來(lái)泰國(guó)打工, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留厦取,地道東北人潮太。 一個(gè)月前我還...
    沈念sama閱讀 49,304評(píng)論 3 379
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長(zhǎng)得像虾攻,于是被迫代替她去往敵國(guó)和親铡买。 傳聞我的和親對(duì)象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 45,876評(píng)論 2 361

推薦閱讀更多精彩內(nèi)容

  • Note: 本文基于使用kubeadm搭建的kubernetes集群進(jìn)行講解 第一步:獲取證書(shū)簽發(fā)信息 方式一:通...
    H_appiness閱讀 757評(píng)論 0 1
  • 因?yàn)槭枪P記本虛擬機(jī)搭建所以好久沒(méi)打開(kāi)k8s集群了霎箍,開(kāi)機(jī)后先是提示:Unable to connect to the...
    柳華聰閱讀 1,815評(píng)論 0 0
  • FEATURE STATE: Kubernetes v1.15 stable kubeadm生成的客戶端證書(shū)將在1...
    lyyao09閱讀 3,905評(píng)論 1 0
  • Note: 本文基于使用kubeadm搭建的kubernetes集群進(jìn)行講解 第一步:獲取證書(shū)簽發(fā)信息 方式一:通...
    SetZero閱讀 1,816評(píng)論 1 5
  • 表情是什么奇钞,我認(rèn)為表情就是表現(xiàn)出來(lái)的情緒。表情可以傳達(dá)很多信息漂坏。高興了當(dāng)然就笑了景埃,難過(guò)就哭了。兩者是相互影響密不可...
    Persistenc_6aea閱讀 125,381評(píng)論 2 7