溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章主要介紹“Rancher 2.3手動輪換證書的方法是什么”,在日常操作中,相信很多人在Rancher 2.3手動輪換證書的方法是什么問題上存在疑惑,小編查閱了各式資料,整理出簡單好用的操作方法,希望對大家解答”Rancher 2.3手動輪換證書的方法是什么”的疑惑有所幫助!接下來,請跟著小編一起來學習吧!
Rancher 2.3正式發布已經一年,第一批使用Rancher 2.3的用戶可能會遇到Rancher Server證書過期,但是沒有自動輪換的情況。這會導致Rancher Server無法啟動,并且日志出現報錯:
請注意:
Rancher Server無法啟動不會影響下游集群,下游集群依然可以通過kubeconfig去操作。
請注意:
Rancher Server無法啟動不會影響下游集群,下游集群依然可以通過kubeconfig去操作。
以上情況只會在docker run啟動或使用小于k3s v1.19用作local集群的Rancher上才會發生。以上情況只會在
docker run啟動或使用小于k3s v1.19用作local集群的Rancher上才會發生。
為了讓大家更好的理解這個問題,下面將以手動修改系統時間的形式來重現這個問題。
當前時間:2020年10月30日 星期五 10時37分59秒 CST
1、啟動Rancher v2.3.1,并且添加下游集群,操作步驟可以參考官網:
https://docs.rancher.cn/docs/rancher2/installation/other-installation-methods/single-node-docker/_index/
https://docs.rancher.cn/docs/rancher2/cluster-provisioning/_index
2、啟動Rancher 之后,從瀏覽器上查看到的過期時間:2021年10月30日 星期六 中國標準時間 10:29:35
3、查看Rancher Server容器內的K3s證書過期時間為 Oct 30 02:28:49 2021 GMT
root@rancher1:~# docker exec -it rancher_server_id bash root@25c228f6a4c8:/var/lib/rancher# for i in `ls /var/lib/rancher/k3s/server/tls/*.crt`; do echo $i; openssl x509 -enddate -noout -in $i; done /var/lib/rancher/k3s/server/tls/client-admin.crt notAfter=Oct 30 02:28:49 2021 GMT /var/lib/rancher/k3s/server/tls/client-auth-proxy.crt notAfter=Oct 30 02:28:49 2021 GMT /var/lib/rancher/k3s/server/tls/client-ca.crt notAfter=Oct 28 02:28:49 2030 GMT /var/lib/rancher/k3s/server/tls/client-controller.crt notAfter=Oct 30 02:28:49 2021 GMT /var/lib/rancher/k3s/server/tls/client-kube-apiserver.crt notAfter=Oct 30 02:28:49 2021 GMT /var/lib/rancher/k3s/server/tls/client-kube-proxy.crt notAfter=Oct 30 02:28:49 2021 GMT /var/lib/rancher/k3s/server/tls/client-scheduler.crt notAfter=Oct 30 02:28:49 2021 GMT /var/lib/rancher/k3s/server/tls/request-header-ca.crt notAfter=Oct 28 02:28:49 2030 GMT /var/lib/rancher/k3s/server/tls/server-ca.crt notAfter=Oct 28 02:28:49 2030 GMT /var/lib/rancher/k3s/server/tls/serving-kube-apiserver.crt notAfter=Oct 30 02:28:49 2021 GMT
4、將服務器時間調整為證書過期后5天的日期,比如:20211105
root@rancher1:~# timedatectl set-ntp no root@rancher1:~# date -s 20211105 Fri Nov 5 00:00:00 CST 2021 root@rancher1:~# date Fri Nov 5 00:00:00 CST 2021
此時,Rancher UI 已經無法訪問:
并且Rancher 容器由于內置的K3s證書過期而不斷重啟。
以上現象是因為Rancher Server內置的K3s證書過期,導致K3s無法啟動,從而導致Rancher Server容器無法啟動。
為了可以繼續操作Rancher Server容器,需要將系統時間調整到K3s證書過期之前。
root@rancher1:~# date -s 20211025 Mon Oct 25 00:00:00 CST 2021
如果啟動Rancher時未加
--restart=unless-stopped參數,需要手動啟動Rancher Server。
接下來我們就可以進入到容器內手動刪除K3s證書,然后重啟Rancher,重啟成功后將重新生成K3s證書。
root@rancher1:~# docker exec -it rancher_server_id bash root@25c228f6a4c8:/var/lib/rancher# rm -rf /var/lib/rancher/k3s/server/tls/*.crt root@25c228f6a4c8:/var/lib/rancher# exit exit root@rancher1:~# docker restart rancher_server_id
Rancher Server如果出現以下日志,那么需要再重啟一次Rancher Server:
2021/10/24 16:01:00 [INFO] Waiting for server to become available: Get https://localhost:6443/version?timeout=30s: x509: certificate signed by unknown authority
1、將服務器時間再次調整為證書過期后5天的日期,比如:20211105
root@rancher1:~# date -s 20211105 Fri Nov 5 00:00:00 CST 2021
證書更新之后,我們需要確認K3s證書是否更新成功,還需要檢查下游集群是否會有影響。
2、確認K3s證書已經更新
root@rancher1:~# docker exec -it rancher_server_id bash root@25c228f6a4c8:/var/lib/rancher# for i in `ls /var/lib/rancher/k3s/server/tls/*.crt`; do echo $i; openssl x509 -enddate -noout -in $i; done /var/lib/rancher/k3s/server/tls/client-admin.crt notAfter=Oct 24 16:00:54 2022 GMT /var/lib/rancher/k3s/server/tls/client-auth-proxy.crt notAfter=Oct 24 16:00:54 2022 GMT /var/lib/rancher/k3s/server/tls/client-ca.crt notAfter=Oct 22 16:00:54 2031 GMT /var/lib/rancher/k3s/server/tls/client-controller.crt notAfter=Oct 24 16:00:54 2022 GMT /var/lib/rancher/k3s/server/tls/client-kube-apiserver.crt notAfter=Oct 24 16:00:54 2022 GMT /var/lib/rancher/k3s/server/tls/client-kube-proxy.crt notAfter=Oct 24 16:00:54 2022 GMT /var/lib/rancher/k3s/server/tls/client-scheduler.crt notAfter=Oct 24 16:00:54 2022 GMT /var/lib/rancher/k3s/server/tls/request-header-ca.crt notAfter=Oct 22 16:00:54 2031 GMT /var/lib/rancher/k3s/server/tls/server-ca.crt notAfter=Oct 22 16:00:54 2031 GMT /var/lib/rancher/k3s/server/tls/serving-kube-apiserver.crt notAfter=Oct 24 16:00:54 2022 GMT
K3s證書過期時間已經從Oct 30 02:28:49 2021 GMT更新到了Oct 24 16:00:54 2022 GMT
3、確認瀏覽器證書已經更新
瀏覽器上的證書過期已經從2021年10月30日 星期六 中國標準時間 10:29:35更新到了2022年10月25日 星期二 中國標準時間 00:01:34
4、確認下游集群不受影響
集群狀態為Active
檢查集群 Pod 的運行狀況
到此,關于“Rancher 2.3手動輪換證書的方法是什么”的學習就結束了,希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習,快去試試吧!若想繼續學習更多相關知識,請繼續關注億速云網站,小編會繼續努力為大家帶來更多實用的文章!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
