编译kubeadm使生成证书有效期为100年

丝 · 2022-8-25 14:13:21

问题

当我使用kubeadm部署成功k8s集群时在想默认生成的证书有效期是多久，如下所示

/etc/kubernetes/pki/apiserver.crt #1年有效期
/etc/kubernetes/pki/front-proxy-ca.crt #10年有效期
/etc/kubernetes/pki/ca.crt #10年有效期
/etc/kubernetes/pki/apiserver-etcd-client.crt #1年有效期
/etc/kubernetes/pki/front-proxy-client.crt #1年有效期
/etc/kubernetes/pki/etcd/server.crt #1年有效期
/etc/kubernetes/pki/etcd/ca.crt #10年有效期
/etc/kubernetes/pki/etcd/peer.crt #1年有效期
/etc/kubernetes/pki/etcd/healthcheck-client.crt #1年有效期
/etc/kubernetes/pki/apiserver-kubelet-client.crt #1年有效期

复制代码

也可以通过kubeadm certs check-expiration查看证书和有效期
当然可以使用kubeadm certs renew all来续订证书，但是证书更新了那些服务如果要重启就很麻烦
所以我想修改kubeadm源码让默认生成的证书有100年有效期

编译

官方文档：编译k8s
下载源码：git clone --depth=1 -b v1.24.2 git@github.com:kubernetes/kubernetes.git，目前最新的kubeadm版本是v1.24.2，所以直接克隆这个标签
找到该版本使用的镜像：K8S_IMG="k8s.gcr.io/build-image/kube-cross:$(cat ./build/build-image/cross/VERSION)"
我已经放到阿里云上了，现在只需执行：docker pull registry.cn-hangzhou.aliyuncs.com/janbar-k8s/kube-cross:v1.24.0-go1.18.3-bullseye.0到本地就可以了
下载到编译机器,将tag改为官方的格式：docker tag registry.cn-hangzhou.aliyuncs.com/janbar-k8s/kube-cross:v1.24.0-go1.18.3-bullseye.0 $K8S_IMG
修改 NewSelfSignedCACert 方法的 NotAfter 为(100年): now.Add(duration365d * 100).UTC()： vim ./staging/src/k8s.io/client-go/util/cert/cert.go
修改 CertificateValidity 为: time.Hour * 24 * 365 * 99：vim ./cmd/kubeadm/app/constants/constants.go
最终修改提交如下图所示，已经将1年和10年的证书都改成100年

编译kubeadm：cd build/ && ./run.sh make kubeadm
执行命令查看编译kubeadm的版本：./_output/dockerized/bin/linux/amd64/kubeadm version
这个可执行程序就可以替换你自己用那个就行了

检查结果

执行检查证书命令：kubeadm alpha certs check-expiration
可以看到所有证书有效期都变为100年了

出处：https://www.cnblogs.com/janbar本文版权归作者和博客园所有，欢迎转载，转载请标明出处。喜欢我的文章请[关注我]吧。如果您觉得本篇博文对您有所收获，可点击[推荐]并[收藏]，或到右侧 [打赏] 里请我喝杯咖啡，非常感谢。
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

		自动登录	找回密码
密码			立即注册

编译kubeadm使生成证书有效期为100年

本帖子中包含更多资源

0 个回复

快速回复

楼主热帖

标签云