溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

Rancher 2.3手動(dòng)輪換證書的方法是什么

發(fā)布時(shí)間:2021-12-24 10:08:03 來(lái)源:億速云 閱讀:308 作者:iii 欄目:云計(jì)算

這篇文章主要介紹“Rancher 2.3手動(dòng)輪換證書的方法是什么”,在日常操作中,相信很多人在Rancher 2.3手動(dòng)輪換證書的方法是什么問(wèn)題上存在疑惑,小編查閱了各式資料,整理出簡(jiǎn)單好用的操作方法,希望對(duì)大家解答”Rancher 2.3手動(dòng)輪換證書的方法是什么”的疑惑有所幫助!接下來(lái),請(qǐng)跟著小編一起來(lái)學(xué)習(xí)吧!

前 言

Rancher 2.3正式發(fā)布已經(jīng)一年,第一批使用Rancher 2.3的用戶可能會(huì)遇到Rancher Server證書過(guò)期,但是沒有自動(dòng)輪換的情況。這會(huì)導(dǎo)致Rancher Server無(wú)法啟動(dòng),并且日志出現(xiàn)報(bào)錯(cuò):

Rancher 2.3手動(dòng)輪換證書的方法是什么

請(qǐng)注意:

Rancher Server無(wú)法啟動(dòng)不會(huì)影響下游集群,下游集群依然可以通過(guò)kubeconfig去操作。

請(qǐng)注意:

Rancher Server無(wú)法啟動(dòng)不會(huì)影響下游集群,下游集群依然可以通過(guò)kubeconfig去操作。

以上情況只會(huì)在docker run啟動(dòng)或使用小于k3s v1.19用作local集群的Rancher上才會(huì)發(fā)生。以上情況只會(huì)在docker run啟動(dòng)或使用小于k3s v1.19用作local集群的Rancher上才會(huì)發(fā)生。

重現(xiàn)問(wèn)題

為了讓大家更好的理解這個(gè)問(wèn)題,下面將以手動(dòng)修改系統(tǒng)時(shí)間的形式來(lái)重現(xiàn)這個(gè)問(wèn)題。

當(dāng)前時(shí)間:2020年10月30日 星期五 10時(shí)37分59秒 CST

1、啟動(dòng)Rancher v2.3.1,并且添加下游集群,操作步驟可以參考官網(wǎng):

  • https://docs.rancher.cn/docs/rancher2/installation/other-installation-methods/single-node-docker/_index/

  • https://docs.rancher.cn/docs/rancher2/cluster-provisioning/_index

2、啟動(dòng)Rancher 之后,從瀏覽器上查看到的過(guò)期時(shí)間:2021年10月30日 星期六 中國(guó)標(biāo)準(zhǔn)時(shí)間 10:29:35

Rancher 2.3手動(dòng)輪換證書的方法是什么

3、查看Rancher Server容器內(nèi)的K3s證書過(guò)期時(shí)間為 Oct 30 02:28:49 2021 GMT

root@rancher1:~# docker exec -it rancher_server_id bash
root@25c228f6a4c8:/var/lib/rancher# for i in `ls /var/lib/rancher/k3s/server/tls/*.crt`; do echo $i; openssl x509 -enddate -noout -in $i; done
/var/lib/rancher/k3s/server/tls/client-admin.crt
notAfter=Oct 30 02:28:49 2021 GMT
/var/lib/rancher/k3s/server/tls/client-auth-proxy.crt
notAfter=Oct 30 02:28:49 2021 GMT
/var/lib/rancher/k3s/server/tls/client-ca.crt
notAfter=Oct 28 02:28:49 2030 GMT
/var/lib/rancher/k3s/server/tls/client-controller.crt
notAfter=Oct 30 02:28:49 2021 GMT
/var/lib/rancher/k3s/server/tls/client-kube-apiserver.crt
notAfter=Oct 30 02:28:49 2021 GMT
/var/lib/rancher/k3s/server/tls/client-kube-proxy.crt
notAfter=Oct 30 02:28:49 2021 GMT
/var/lib/rancher/k3s/server/tls/client-scheduler.crt
notAfter=Oct 30 02:28:49 2021 GMT
/var/lib/rancher/k3s/server/tls/request-header-ca.crt
notAfter=Oct 28 02:28:49 2030 GMT
/var/lib/rancher/k3s/server/tls/server-ca.crt
notAfter=Oct 28 02:28:49 2030 GMT
/var/lib/rancher/k3s/server/tls/serving-kube-apiserver.crt
notAfter=Oct 30 02:28:49 2021 GMT

4、將服務(wù)器時(shí)間調(diào)整為證書過(guò)期后5天的日期,比如:20211105

root@rancher1:~# timedatectl set-ntp no
root@rancher1:~# date -s 20211105
Fri Nov  5 00:00:00 CST 2021
root@rancher1:~# date
Fri Nov  5 00:00:00 CST 2021

此時(shí),Rancher UI 已經(jīng)無(wú)法訪問(wèn):

Rancher 2.3手動(dòng)輪換證書的方法是什么

并且Rancher 容器由于內(nèi)置的K3s證書過(guò)期而不斷重啟。

手動(dòng)輪換證書

以上現(xiàn)象是因?yàn)镽ancher Server內(nèi)置的K3s證書過(guò)期,導(dǎo)致K3s無(wú)法啟動(dòng),從而導(dǎo)致Rancher Server容器無(wú)法啟動(dòng)。

為了可以繼續(xù)操作Rancher Server容器,需要將系統(tǒng)時(shí)間調(diào)整到K3s證書過(guò)期之前。

root@rancher1:~# date -s 20211025
Mon Oct 25 00:00:00 CST 2021

如果啟動(dòng)Rancher時(shí)未加--restart=unless-stopped參數(shù),需要手動(dòng)啟動(dòng)Rancher Server。

接下來(lái)我們就可以進(jìn)入到容器內(nèi)手動(dòng)刪除K3s證書,然后重啟Rancher,重啟成功后將重新生成K3s證書。

root@rancher1:~# docker exec -it rancher_server_id bash
root@25c228f6a4c8:/var/lib/rancher# rm -rf /var/lib/rancher/k3s/server/tls/*.crt
root@25c228f6a4c8:/var/lib/rancher# exit
exit
root@rancher1:~# docker restart rancher_server_id

Rancher Server如果出現(xiàn)以下日志,那么需要再重啟一次Rancher Server:

2021/10/24 16:01:00 [INFO] Waiting for server to become available: Get https://localhost:6443/version?timeout=30s: x509: certificate signed by unknown authority

驗(yàn) 證

1、將服務(wù)器時(shí)間再次調(diào)整為證書過(guò)期后5天的日期,比如:20211105

root@rancher1:~# date -s 20211105
Fri Nov  5 00:00:00 CST 2021

證書更新之后,我們需要確認(rèn)K3s證書是否更新成功,還需要檢查下游集群是否會(huì)有影響。

2、確認(rèn)K3s證書已經(jīng)更新

root@rancher1:~# docker exec -it rancher_server_id bash
root@25c228f6a4c8:/var/lib/rancher# for i in `ls /var/lib/rancher/k3s/server/tls/*.crt`; do echo $i; openssl x509 -enddate -noout -in $i; done
/var/lib/rancher/k3s/server/tls/client-admin.crt
notAfter=Oct 24 16:00:54 2022 GMT
/var/lib/rancher/k3s/server/tls/client-auth-proxy.crt
notAfter=Oct 24 16:00:54 2022 GMT
/var/lib/rancher/k3s/server/tls/client-ca.crt
notAfter=Oct 22 16:00:54 2031 GMT
/var/lib/rancher/k3s/server/tls/client-controller.crt
notAfter=Oct 24 16:00:54 2022 GMT
/var/lib/rancher/k3s/server/tls/client-kube-apiserver.crt
notAfter=Oct 24 16:00:54 2022 GMT
/var/lib/rancher/k3s/server/tls/client-kube-proxy.crt
notAfter=Oct 24 16:00:54 2022 GMT
/var/lib/rancher/k3s/server/tls/client-scheduler.crt
notAfter=Oct 24 16:00:54 2022 GMT
/var/lib/rancher/k3s/server/tls/request-header-ca.crt
notAfter=Oct 22 16:00:54 2031 GMT
/var/lib/rancher/k3s/server/tls/server-ca.crt
notAfter=Oct 22 16:00:54 2031 GMT
/var/lib/rancher/k3s/server/tls/serving-kube-apiserver.crt
notAfter=Oct 24 16:00:54 2022 GMT

K3s證書過(guò)期時(shí)間已經(jīng)從Oct 30 02:28:49 2021 GMT更新到了Oct 24 16:00:54 2022 GMT

3、確認(rèn)瀏覽器證書已經(jīng)更新

瀏覽器上的證書過(guò)期已經(jīng)從2021年10月30日 星期六 中國(guó)標(biāo)準(zhǔn)時(shí)間 10:29:35更新到了2022年10月25日 星期二 中國(guó)標(biāo)準(zhǔn)時(shí)間 00:01:34

Rancher 2.3手動(dòng)輪換證書的方法是什么

4、確認(rèn)下游集群不受影響

  • 集群狀態(tài)為Active

Rancher 2.3手動(dòng)輪換證書的方法是什么

  • 檢查集群 Pod 的運(yùn)行狀況

Rancher 2.3手動(dòng)輪換證書的方法是什么

到此,關(guān)于“Rancher 2.3手動(dòng)輪換證書的方法是什么”的學(xué)習(xí)就結(jié)束了,希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí),快去試試吧!若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí),請(qǐng)繼續(xù)關(guān)注億速云網(wǎng)站,小編會(huì)繼續(xù)努力為大家?guī)?lái)更多實(shí)用的文章!

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI