ToB企服应用市场:ToB评测及商务社交产业平台
标题:
编译kubeadm使生成证书有效期为100年
[打印本页]
作者:
耶耶耶耶耶
时间:
2022-8-25 14:11
标题:
编译kubeadm使生成证书有效期为100年
目录
问题
编译
检查结果
问题
当我使用kubeadm部署成功k8s集群时在想默认生成的证书有效期是多久,如下所示
/etc/kubernetes/pki/apiserver.crt #1年有效期
/etc/kubernetes/pki/front-proxy-ca.crt #10年有效期
/etc/kubernetes/pki/ca.crt #10年有效期
/etc/kubernetes/pki/apiserver-etcd-client.crt #1年有效期
/etc/kubernetes/pki/front-proxy-client.crt #1年有效期
/etc/kubernetes/pki/etcd/server.crt #1年有效期
/etc/kubernetes/pki/etcd/ca.crt #10年有效期
/etc/kubernetes/pki/etcd/peer.crt #1年有效期
/etc/kubernetes/pki/etcd/healthcheck-client.crt #1年有效期
/etc/kubernetes/pki/apiserver-kubelet-client.crt #1年有效期
复制代码
也可以通过kubeadm certs check-expiration查看证书和有效期
当然可以使用kubeadm certs renew all来续订证书,但是证书更新了那些服务如果要重启就很麻烦
所以我想修改kubeadm源码让默认生成的证书有100年有效期
编译
官方文档:
编译k8s
下载源码:git clone --depth=1 -b v1.24.2 git@github.com:kubernetes/kubernetes.git,目前最新的kubeadm版本是v1.24.2,所以直接克隆这个标签
找到该版本使用的镜像:K8S_IMG="k8s.gcr.io/build-image/kube-cross:$(cat ./build/build-image/cross/VERSION)"
我已经放到阿里云上了,现在只需执行:docker pull registry.cn-hangzhou.aliyuncs.com/janbar-k8s/kube-cross:v1.24.0-go1.18.3-bullseye.0到本地就可以了
下载到编译机器,将tag改为官方的格式:docker tag registry.cn-hangzhou.aliyuncs.com/janbar-k8s/kube-cross:v1.24.0-go1.18.3-bullseye.0 $K8S_IMG
修改 NewSelfSignedCACert 方法的 NotAfter 为(100年): now.Add(duration365d * 100).UTC(): vim ./staging/src/k8s.io/client-go/util/cert/cert.go
修改 CertificateValidity 为: time.Hour * 24 * 365 * 99:vim ./cmd/kubeadm/app/constants/constants.go
最终修改提交如下图所示,已经将1年和10年的证书都改成100年
编译kubeadm:cd build/ && ./run.sh make kubeadm
执行命令查看编译kubeadm的版本:./_output/dockerized/bin/linux/amd64/kubeadm version
这个可执行程序就可以替换你自己用那个就行了
检查结果
执行检查证书命令:kubeadm alpha certs check-expiration
可以看到所有证书有效期都变为100年了
出处:
https://www.cnblogs.com/janbar
本文版权归作者和博客园所有,欢迎转载,转载请标明出处。喜欢我的文章请
[关注我]
吧。如果您觉得本篇博文对您有所收获,可点击
[推荐]
并
[收藏]
,或到右侧 [打赏] 里请我喝杯咖啡,非常感谢。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)
Powered by Discuz! X3.4
