问题
- 当我使用kubeadm部署成功k8s集群时在想默认生成的证书有效期是多久,如下所示
/etc/kubernetes/pki/apiserver.crt #1年有效期
/etc/kubernetes/pki/front-proxy-ca.crt #10年有效期
/etc/kubernetes/pki/ca.crt #10年有效期
/etc/kubernetes/pki/apiserver-etcd-client.crt #1年有效期
/etc/kubernetes/pki/front-proxy-client.crt #1年有效期
/etc/kubernetes/pki/etcd/server.crt #1年有效期
/etc/kubernetes/pki/etcd/ca.crt #10年有效期
/etc/kubernetes/pki/etcd/peer.crt #1年有效期
/etc/kubernetes/pki/etcd/healthcheck-client.crt #1年有效期
/etc/kubernetes/pki/apiserver-kubelet-client.crt #1年有效期
- 也可以通过
kubeadm certs check-expiration查看证书和有效期 - 当然可以使用
kubeadm certs renew all来续订证书,但是证书更新了那些服务如果要重启就很麻烦 - 所以我想修改kubeadm源码让默认生成的证书有100年有效期
编译
- 官方文档:编译k8s
- 下载源码:
git clone --depth=1 -b v1.24.2 git@github.com:kubernetes/kubernetes.git,目前最新的kubeadm版本是v1.24.2,所以直接克隆这个标签 - 找到该版本使用的镜像:
K8S_IMG="k8s.gcr.io/build-image/kube-cross:$(cat ./build/build-image/cross/VERSION)" - 我已经放到阿里云上了,现在只需执行:
docker pull registry.cn-hangzhou.aliyuncs.com/janbar-k8s/kube-cross:v1.24.0-go1.18.3-bullseye.0到本地就可以了 - 下载到编译机器,将tag改为官方的格式:
docker tag registry.cn-hangzhou.aliyuncs.com/janbar-k8s/kube-cross:v1.24.0-go1.18.3-bullseye.0 $K8S_IMG - 修改 NewSelfSignedCACert 方法的 NotAfter 为(100年): now.Add(duration365d * 100).UTC():
vim ./staging/src/k8s.io/client-go/util/cert/cert.go - 修改 CertificateValidity 为: time.Hour * 24 * 365 * 99:
vim ./cmd/kubeadm/app/constants/constants.go - 最终修改提交如下图所示,已经将1年和10年的证书都改成100年
- 编译kubeadm:
cd build/ && ./run.sh make kubeadm - 执行命令查看编译kubeadm的版本:
./_output/dockerized/bin/linux/amd64/kubeadm version - 这个可执行程序就可以替换你自己用那个就行了
检查结果
- 执行检查证书命令:
kubeadm certs check-expiration
- 可以看到所有证书有效期都变为100年了
Original: https://www.cnblogs.com/janbar/p/16466573.html
Author: janbar
Title: 编译kubeadm使生成证书有效期为100年
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/516257/
转载文章受原作者版权保护。转载请注明原作者出处!