rancher2.5.0 版本证书过期处理

已于 2023-05-10 14:19:49 修改
阅读量1.1k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
文章标签: kubernetes docker 运维
于 2023-05-10 13:50:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/margu_168/article/details/130596985
文章描述了在使用Rancher2.5.0版本时遇到证书过期导致Web界面无法登录的问题,通过检查容器日志发现证书错误。解决方法包括清理证书文件夹内容并重启容器,或者在容器内执行证书清理和刷新操作。此外,提到升级到2.5.8及以上版本可以避免该问题,且可能需要重启cattle-system命名空间下的Pod。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

rancher2.5.0 版本证书过期处理

通过rancher界面可以很方便查看管理kubernetes中的一些资源,有助于一些对k8s不太熟悉的人排查业务问题(如开发),运维人员看个人爱好使用。

坑:通过docker 起2.5.0版本rancher遇到的,rancher证书的有效期只有一年,一年后web管理界面无法登录,登陆宿主机查看相应容器的日志发现以下报错

2023/05/10 02:43:21 [INFO] Waiting for k3s to start
2023/05/10 02:43:22 [INFO] Starting API controllers
2023/05/10 02:45:05 [FATAL] Get "https://127.0.0.1:6443/api?timeout=15m0s": x509: certificate signed by unknown authority
2023/05/10 02:45:06 [INFO] Rancher version v2.5.0 (65f3525cd) is starting
2023/05/10 02:45:06 [INFO] Rancher arguments {ACMEDomains:[] AddLocal:true Embedded:false BindHost: HTTPListenPort:80 HTTPSListenPort:443 K8sMode:auto Debug:false Trace:false NoCACerts:false AuditLogPath:/var/log/auditlog/rancher-api-audit.log AuditLogMaxage:10 AuditLogMaxsize:100 AuditLogMaxbackup:10 AuditLevel:0 Agent:false Features:}
2023/05/10 02:45:06 [INFO] Listening on /tmp/log.sock
2023/05/10 02:45:06 [INFO] Running etcd --data-dir=management-state/etcd --heartbeat-interval=500 --election-timeout=5000
2023/05/10 02:45:10 [INFO] Waiting for server to become available: Get "https://127.0.0.1:6443/version?timeout=15m0s": dial tcp 127.0.0.1:6443: connect: connection refused
2023/05/10 02:45:12 [INFO] Waiting for server to become available: Get "https://127.0.0.1:6443/version?timeout=15m0s": x509: certificate signed by unknown authority
2023/05/10 02:45:14 [INFO] Waiting for server to become available: Get "https://127.0.0.1:6443/version?timeout=15m0s": x509: certificate signed by unknown authority
2023/05/10 02:45:16 [INFO] Waiting for server to become available: Get "https://127.0.0.1:6443/version?timeout=15m0s": x509: certificate signed by unknown authority
2023/05/10 02:45:18 [INFO] Waiting for server to become available: Get "https://127.0.0.1:6443/version?timeout=15m0s": x509: certificate signed by unknown authority
2023/05/10 02:45:20 [INFO] Waiting for server to become available: Get "https://127.0.0.1:6443/version?timeout=15m0s": x509: certificate signed by unknown authority

可以先检查所有证书过期时间(7f773c5d1d2a 为相应的rancher容器id)

docker exec  -it 7f773c5d1d2a /bin/bash
root@7f773c5d1d2a:/var/lib/rancher# cd k3s/server/tls
root@7f773c5d1d2a:/var/lib/rancher/k3s/server/tls# for i in `ls *.crt`; do openssl x509 -in $i -noout -dates ; done
notBefore=May 10 02:23:23 2023 GMT
notAfter=Dec 31 16:00:20 2023 GMT
notBefore=May 10 02:23:23 2023 GMT
notAfter=Dec 31 16:00:20 2023 GMT
notBefore=May 10 02:23:23 2023 GMT
notAfter=May  7 02:23:23 2033 GMT
notBefore=May 10 02:23:23 2023 GMT
notAfter=Dec 31 16:00:20 2023 GMT
notBefore=May 10 02:23:23 2023 GMT

经过测试通过:直接清空下述文件夹,所有内容 包括*.key 、*.crt 、temporary-certs目录
/var/lib/rancher//rancher/k3s/server/tls/
重启相应容器,web界面访问测试,检查是否有异常。

如果不行。 试试以下方法(适用rancher版本2.4.x 2.5.x )

进入容器中:
docker exec -it rancher-id /bin/bash
容器内执行证书清理动作并刷新

docker exec  -it 7f773c5d1d2a /bin/bash
kubectl --insecure-skip-tls-verify -n kube-system delete secrets k3s-serving
kubectl --insecure-skip-tls-verify delete secret serving-cert -n cattle-system
rm -f /var/lib/rancher/k3s/server/tls/dynamic-cert.json
curl --insecure -sfL https://172.16.11.115/v3

重启rancher server 容器
docker restart rancher

据说rancher升级至2.5.8 及以上, 其内使用k3s 1.20 版本,已无此Bug,可自行测试。

管理的集群客户端不正常可能需要重启,pod位于cattle-system命名空间下,直接删除重建即可。

Last login: Wed May 10 10:32:21 CST 2023 on pts/5
[root@prod-com-k8master1 ~]# kubectl get po  -n cattle-system 
NAME                                    READY   STATUS    RESTARTS   AGE
cattle-cluster-agent-6bb48b9896-ndlw2   1/1     Running   1          161m
[root@prod-com-k8master1 ~]# kubectl delete po -n cattle-system cattle-cluster-agent-6bb48b9896-ndlw2
解决Rancher2.5x版本突然无法使用(K3S证书过期大BUG)
江晓龙的博客
03-12 4466
解决Rancher2.5x版本突然无法使用(证书过期大BUG) 文章目录解决Rancher2.5x版本突然无法使用(证书过期大BUG)1.Rancher突然无法使用的前因后果1.1.缘由1.2.导致问题产生的因素点2.冷静分析即刻处理问题2.1.排查问题的思路以及过程2.2.Rancher的日志为什么说证书过期了?2.3.解决证书过期的BUG2.4.浏览器再次访问Rancher验证问题是否解决3.Rancher对于此问题的解决方案 1.Rancher突然无法使用的前因后果 1.1.缘由 Rancher可视化
docker部署rancher证书过期问题解决方案
04-24
docker部署rancher证书过期问题解决方案,网上有挺多解决方案,基本都是一部分一部分的,不连续
rancher2.5.x证书到期解决办法
qq_54738879的博客
05-11 477
进入rancher-server容器。重启rancherServer容器。
rancher2.x证书过期
m0_65063860的博客
11-15 730
rancher证书过期,页面无法打开
解决rancher证书过期问题
最新发布
帅的博客
08-23 1173
解决rancher证书过期问题
rancher证书过期怎么办
运维@小兵的博客
12-17 5486
查看证书日期 find / -name '*client-ca.crt' -type f cd /data/docker/volumes/d5c55bbfc477cc744ec4b7ba2361c26b3bc5c814ee9e79e7205207b02d278bdd/_data/k3s/server/tls/ for i in ls /var/lib/rancher/k3s/server/tls/*.crt; do echo $i; openssl x509 -enddate -noout -in $i
Rancher企业级Kubernetes管理平台 v2.5.0
11-03
为您提供Rancher企业级Kubernetes管理平台下载,Rancher是一个开源的企业级Kubernetes管理平台,实现了Kubernetes集群在混合云+本地数据中心的集中部署与管理。Rancher API Server:基于Kubernetes API Server扩展...
Docker Rancher证书过期处理步骤
"Rancher证书过期导致的K8s集群访问异常,以及通过调整服务器时间解决证书问题的方法" Rancher是一个流行的开源平台,用于管理容器化应用程序,特别是与DockerKubernetes(k8s)生态系统紧密集成。在Docker中部署...
12. Rancher Kubernetes 组件-过期 Webhook 证书轮换故障排除
05-21 565
Rancher Kubernetes 组件图。如果你的 Rancher 版本安装了rancher-webhook,某些版本创建的证书将在一年后过期。如果证书未续订,你需要轮换你的 webhook 证书
rancher证书是否过期解决方案
码农崛起
01-21 3615
临时方案 一、证书过期,导致不能登录 版本:v2.3.6 2.3 + [root@localhost ~]# docker ps -a | grep 8443 17a1d1cf97fc harbor.jettech.com/rancher/rancher:v2.3.6 "entrypoint.sh" About an hour ago Up About an hour 0.0.0.0:80->80/tcp, 0.0.0.0:8443->443/
rancher 证书过期网页进不去 问题解决
dazhong2012的专栏
05-09 962
参考文章:https://docs.rancher.cn/docs/rancher2.5/cluster-admin/certificate-rotation/_index/#%E6%A6%82%E8%BF%B0
rancher证书过期问题处理
小生测试的博客
01-31 1208
起初,打开rancher ui页面打不开,telnet rancher的服务端口也不通。查看rancher 控制节点,日志显示,X509:certificate has expired or is not ye valid。现在网上大部分的解决方案都是针对的2.2以及以下的版本,如果你按照网上那个教程尝试,会走很多弯路。首先,先确定你的rancher 服务版本,可以通过。如果遇到这样的问题,则说明你的这个命令没写对。最后docker restart 容器id。,选择版本号对应的解决方式。
Rancher证书过期 rancher页面无法登录
lushufnag的博客
09-30 3190
Rancher证书过期 rancher页面无法登录 一 系统分析; 使用命令docker ps -a 查询rancher镜像版本2.4.5 ,和ID号。 查看Rancher运行是否正常。在查看日志。 使用命令 docker logs -f --tail 200 <rancher ID号> 查询日志,原因是rancher证书过期。 运行 docker exec -it <rancher ID号> /bin/bash 进入ruancher server镜像,运行...
Rancher 2.4.x 单容器证书过期&证书轮换方法
Task深水炸弹
05-24 1912
Rancher 2.4.x 官方文档之证书轮换 https://rancher2.docs.rancher.cn/docs/rancher2/cluster-admin/certificate-rotation/_index/ 错误现象: 通过观察可以看到,很明显的有证书过期的字样,且6443端口是apiserver监听的位置,所以考虑是集群证书过期,接下来要进行验证。 rancher_server_id=<rancher_server_container_id> docker exec .
解决Rancher2.5证书过期导致控制台无法访问
weixin_41762392的博客
08-23 893
解决Rancher2.5证书过期导致控制台无法访问
rancher v2.4.5 证书到期问题解决
weixin_46467688的博客
07-03 532
2、新启动rancher 替换容器中证书目录不生效。1、修改服务器时间不生效。
rancher2.4.17证书过期了,处理方法
qq_759035366的博客
10-09 1023
然后去浏览器登录rancher,看看正常吗?如果正常,需要在rancher页面上执行证书更新操作,如果还是不行就需要如下的操作。
rancher 2.5X 证书过期处理方案
xiliangMa的博客
12-29 4307
问题描述 rancher ui 突然不能访问, 日志可以看出证书已经过期。 time="2021-12-29T08:27:32.616638402Z" level=info msg="Waiting for master node startup: resource name may not be empty" 2021-12-29 08:27:32.985756 I | http: TLS handshake error from 127.0.0.1:35568: remote error: tls:
Rancher 证书过期处理方案
不忘初心,方得始终
02-28 1126
rancher ui 突然不能访问, 日志可以看出证书已经过期。1. 进入 rancher server 容器,执行相关操作。3. 重启rancher server 容器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

margu_168

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值