ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 其他分享> 文章详细

编译kubeadm使生成证书有效期为100年

2022-07-11 15:32:34  阅读:207  来源: 互联网

标签:有效期 kubernetes etc 编译 crt 100 pki kubeadm


目录

问题

  • 当我使用kubeadm部署成功k8s集群时在想默认生成的证书有效期是多久,如下所示
/etc/kubernetes/pki/apiserver.crt                #1年有效期
/etc/kubernetes/pki/front-proxy-ca.crt           #10年有效期
/etc/kubernetes/pki/ca.crt                       #10年有效期
/etc/kubernetes/pki/apiserver-etcd-client.crt    #1年有效期
/etc/kubernetes/pki/front-proxy-client.crt       #1年有效期
/etc/kubernetes/pki/etcd/server.crt              #1年有效期
/etc/kubernetes/pki/etcd/ca.crt                  #10年有效期
/etc/kubernetes/pki/etcd/peer.crt                #1年有效期
/etc/kubernetes/pki/etcd/healthcheck-client.crt  #1年有效期
/etc/kubernetes/pki/apiserver-kubelet-client.crt #1年有效期
  • 也可以通过kubeadm certs check-expiration查看证书和有效期
  • 当然可以使用kubeadm certs renew all来续订证书,但是证书更新了那些服务如果要重启就很麻烦
  • 所以我想修改kubeadm源码让默认生成的证书有100年有效期

编译

  • 官方文档:编译k8s
  • 下载源码:git clone --depth=1 -b v1.24.2 git@github.com:kubernetes/kubernetes.git,目前最新的kubeadm版本是v1.24.2,所以直接克隆这个标签
  • 找到该版本使用的镜像:K8S_IMG="k8s.gcr.io/build-image/kube-cross:$(cat ./build/build-image/cross/VERSION)"
  • 我已经放到阿里云上了,现在只需执行:docker pull registry.cn-hangzhou.aliyuncs.com/janbar-k8s/kube-cross:v1.24.0-go1.18.3-bullseye.0到本地就可以了
  • 下载到编译机器,将tag改为官方的格式:docker tag registry.cn-hangzhou.aliyuncs.com/janbar-k8s/kube-cross:v1.24.0-go1.18.3-bullseye.0 $K8S_IMG
  • 修改 NewSelfSignedCACert 方法的 NotAfter 为(100年): now.Add(duration365d * 100).UTC(): vim ./staging/src/k8s.io/client-go/util/cert/cert.go
  • 修改 CertificateValidity 为: time.Hour * 24 * 365 * 99:vim ./cmd/kubeadm/app/constants/constants.go
  • 最终修改提交如下图所示,已经将1年和10年的证书都改成100年

image

  • 编译kubeadm:cd build/ && ./run.sh make kubeadm
  • 执行命令查看编译kubeadm的版本:./_output/dockerized/bin/linux/amd64/kubeadm version
  • 这个可执行程序就可以替换你自己用那个就行了

检查结果

  • 执行检查证书命令:kubeadm alpha certs check-expiration
    image
  • 可以看到所有证书有效期都变为100年了

标签:有效期,kubernetes,etc,编译,crt,100,pki,kubeadm
来源: https://www.cnblogs.com/janbar/p/16466573.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有