O vencimento do certificado do Kubernetes causa interrupção da comunicação em todo o cluster

Opções de download

  • PDF     (89.6 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (89.8 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (79.2 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:19 de março de 2020
ID do documento:215299

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve um possível problema de paralisação que os clientes podem enfrentar quando têm um sistema baseado em Kubernetes instalado por mais de 365 dias. Além disso, ele passa pelas etapas necessárias para corrigir a situação e colocar o sistema baseado em Kubernetes de volta em funcionamento.

    Problema

    Após um ano do cluster padrão instalado de Kubernetes, os certificados do cliente expiram. Você não poderá acessar o Cisco CloudCenter Suite (CCS). Embora ainda apareça, você não poderá fazer login. Se você navegar até a CLI kubectl, verá este erro, "Unable to connect to the server: x509: o certificado expirou ou ainda não é válido."

    Você pode executar este script bash para ver a data de expiração de seus certificados:

    for crt in /etc/kubernetes/pki/*.crt; do
     printf '%s: %s\n' \
     "$(date --date="$(openssl x509 -enddate -noout -in "$crt"|cut -d= -f 2)" --iso-8601)" \
     "$crt"
done | sort

    Você também pode encontrar um fluxo de trabalho de código aberto para o Action Orchestrator que monitorará isso diariamente e alertará sobre problemas.

    https://github.com/cisco-cx-workflows/cx-ao-shared-workflows/tree/master/CCSCheckKubernetesExpiration__definition_workflow_01E01VIRWZDE24mWlsHrqCGB9xUix0f9ZxG

    Solução

    Novos certificados devem ser reemitidos via Kubeadm no cluster e, em seguida, é necessário reingressar os nós de trabalho nos mestres.

    1. Faça login em um nó mestre.

    2. Obtenha seu endereço IP por meio do comando ip address show.

      [root@cx-ccs-prod-master-d7f34f25-f524-4f90-9037-7286202ed13a3 kubernetes]# ip address show
      1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
      link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
      inet 127.0.0.1/8 scope host lo
      valid_lft forever preferred_lft forever
      2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 8920 qdisc pfifo_fast state UP group default qlen 1000
      link/ether fa:16:3e:19:63:a2 brd ff:ff:ff:ff:ff:ff
      inet 192.168.1.20/24 brd 192.168.1.255 scope global dynamic eth0
      valid_lft 37806sec preferred_lft 37806sec
      3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default
      link/ether 02:42:d0:29:ce:5e brd ff:ff:ff:ff:ff:ff
      inet 172.17.0.1/16 scope global docker0
      valid_lft forever preferred_lft forever
      13: tunl0@NONE: <NOARP,UP,LOWER_UP> mtu 1430 qdisc noqueue state UNKNOWN group default qlen 1000
      link/ipip 0.0.0.0 brd 0.0.0.0
      inet 172.16.176.128/32 brd 172.16.176.128 scope global tunl0
      valid_lft forever preferred_lft forever
      14: cali65453a0219d@if4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1430 qdisc noqueue state UP group default
      link/ether ee:ee:ee:ee:ee:ee brd ff:ff:ff:ff:ff:ff link-netnsid 4
    3. Navegue até o diretório Kubernetes via cd /etc/kubernetes.

    4. Crie um arquivo chamado kubeadmCERT.yaml via vi kubeadmCERT.yaml.

    5. O arquivo deve ter a seguinte aparência:

      apiVersion: kubeadm.k8s.io/v1alpha1
kind: MasterConfiguration
api:
  advertiseAddress: <IP ADDRESS FROM STEP 2>
kubernetesVersion: v1.11.6
      #NOTE: If the customer is running a load balancer VM then you must add these lines after...
      #apiServerCertSANs:
      #- <load balancer IP>
    6. Faça backup dos certificados e chaves antigos. Isso não é obrigatório, mas recomendado. Faça um diretório de backup e copie esses arquivos nele.

      #Files
#apiserver.crt
#apiserver.key
#apiserver-kubelet-client.crt
#apiserver-kubelet-client.key
#front-proxy-client.crt
#front-proxy-client.key

#ie
cd /etc/kubernetes/pki
mkdir backup
mv apiserver.key backup/apiserver.key.bak
    7. Se você tiver ignorado a Etapa 6, poderá excluir os arquivos mencionados anteriormente por meio do comando rm, como rm apiserver.crt.

    8. Navegue até onde seu arquivo kubeadmCERT.yaml está localizado. Gere um novo certificado de instrutor via kubeadm — config kubeadmCERT.yaml alpha phase certs apiserver.

       
      [root@cx-ccs-prod-master-d7f34f25-f524-4f90-9037-7286202ed13a3 kubernetes]# kubeadm --config kubeadmCERT.yaml alpha phase certs apiserver
[certificates] Generated apiserver certificate and key.
[certificates] apiserver serving cert is signed for DNS names [cx-ccs-prod-master-d7f34f25-f524-4f90-9037-7286202ed13a3 kubernetes kubernetes.default kubernetes.default.svc kubernetes.default.svc.cluster.local] and IPs [10.96.0.1 192.168.1.20]
    9. Gere um novo certificado de kubelet de repiserver via kubeadm — config kubeadmCERT.yaml alpha phase certs apiserver-kubelet-client.

    10. Gerar novo certificado front-proxy-client via kubeadm — config kubeadmCERT.yaml alpha phase certs front-proxy-client.

    11. Na pasta /etc/kubernetes, faça backup dos arquivos.conf. Não obrigatório, mas recomendado. Você deve ter kubelet.conf, controller-manager.conf, Scheduler.conf e possivelmente admin.conf. Você pode excluí-los se não quiser fazer backup deles.

    12. Gere novos arquivos de configuração via kubeadm —config kubeadmCERT.yaml alfa phase kubeconfig all.

      [root@cx-ccs-prod-master-d7f34f25-f524-4f90-9037-7286202ed13a3 kubernetes]# kubeadm --config kubeadmCERT.yaml alpha phase kubeconfig all
[kubeconfig] Wrote KubeConfig file to disk: "/etc/kubernetes/admin.conf"
[kubeconfig] Wrote KubeConfig file to disk: "/etc/kubernetes/kubelet.conf"
[kubeconfig] Wrote KubeConfig file to disk: "/etc/kubernetes/controller-manager.conf"
[kubeconfig] Wrote KubeConfig file to disk: "/etc/kubernetes/scheduler.conf"
    13. Exporte seu novo arquivo admin.conf para o host.

      cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
chown $(id -u):$(id -g) $HOME/.kube/config
chmod 777 $HOME/.kube/config
export KUBECONFIG=.kube/config
    14. Reinicie o nó mestre por shutdown -r now.

    15. Depois que o mestre tiver o backup, verifique se kubelet está funcionando através do systemctl status kubelet.

    16. Verifique os kubernetes através de kubectl get nodes.

       
      [root@cx-ccs-prod-master-d7f34f25-f524-4f90-9037-7286202ed13a3 ~]# kubectl get nodes
NAME                                                       STATUS     ROLES     AGE       VERSION
cx-ccs-prod-master-d7f34f25-f524-4f90-9037-7286202ed13a1   Ready      master    1y        v1.11.6
cx-ccs-prod-master-d7f34f25-f524-4f90-9037-7286202ed13a2   Ready      master    1y        v1.11.6
cx-ccs-prod-master-d7f34f25-f524-4f90-9037-7286202ed13a3   Ready      master    1y        v1.11.6
cx-ccs-prod-worker-d7f34f25-f524-4f90-9037-7286202ed13a1   NotReady   <none>    1y        v1.11.6
cx-ccs-prod-worker-d7f34f25-f524-4f90-9037-7286202ed13a2   NotReady   <none>    1y        v1.11.6
cx-ccs-prod-worker-d7f34f25-f524-4f90-9037-7286202ed13a3   NotReady   <none>    1y        v1.11.6
cx-ccs-prod-worker-d7f34f25-f524-4f90-9037-7286202ed13a4   NotReady   <none>    1y        v1.11.6
cx-ccs-prod-worker-d7f34f25-f524-4f90-9037-7286202ed13a5   NotReady   <none>    1y        v1.11.6
cx-ccs-prod-worker-d7f34f25-f524-4f90-9037-7286202ed13a6   NotReady   <none>    1y        v1.11.6

    17. Repita as etapas 1. 16. para cada nó mestre.

    18. Em um mestre, gere um novo token de junção por meio do comando kubeadm token create — print-join-command. Copie esse comando para uso posterior.

      [root@cx-ccs-prod-master-d7f34f25-f524-4f90-9037-7286202ed13a1 k8s-mgmt]# kubeadm token create 
       --print-join-command
kubeadm join 192.168.1.14:6443 --token m1ynvj.f4n3et3poki88ry4
       --discovery-token-ca-cert-hash 
      sha256:4d0c569985c1d460ef74dc01c85740285e4af2c2369ff833eed1ba86e1167575
    19. Obtenha os IPs dos seus funcionários através de kubectl get node-o-wide.

    20. Efetue login em um funcionário como ssh -i /home/cloud-user/keys/gen3-ao-prod.key cloud-user@192.168.1.17 e navegue até o acesso raiz.

    21. Pare o serviço kubelet através do systemctl stop kubelet.

    22. Remova os arquivos de configuração antigos, incluindo ca.crt, kubelet.conf e bootstrap-kubelet.conf. 

      rm /etc/kubernetes/pki/ca.crt
rm /etc/kubernetes/kubelet.conf
rm /etc/kubernetes/bootstrap-kubelet.conf
    23. Pegue o nome do nó na Etapa 19.

    24. Emita o comando para o trabalhador para ingressar novamente no cluster. Use o comando de 18., mas adicione —node-name <name of node> ao final.

      [root@cx-ccs-prod-worker-d7f34f25-f524-4f90-9037-7286202ed13a1 kubernetes]# kubeadm join 192.168.1.14:6443 --token m1ynvj.f4n3et3poki88ry4 --discovery-token-ca-cert-hash sha256:4d0c569985c1d460ef74dc01c85740285e4af2c2369ff833eed1ba86e1167575 --node-name cx-ccs-prod-worker-d7f34f25-f524-4f90-9037-7286202ed13a1
[preflight] running pre-flight checks
        [WARNING RequiredIPVSKernelModulesAvailable]: the IPVS proxier will not be used, because the following required kernel modules are not loaded: [ip_vs_rr ip_vs_wrr ip_vs_sh] or no builtin kernel ipvs support: map[ip_vs:{} ip_vs_rr:{} ip_vs_wrr:{} ip_vs_sh:{} nf_conntrack_ipv4:{}]
you can solve this problem with following methods:
 1. Run 'modprobe -- ' to load missing kernel modules;
2. Provide the missing builtin kernel ipvs support

I0226 17:59:52.644282   19170 kernel_validator.go:81] Validating kernel version
I0226 17:59:52.644421   19170 kernel_validator.go:96] Validating kernel config
[discovery] Trying to connect to API Server "192.168.1.14:6443"
[discovery] Created cluster-info discovery client, requesting info from "https://192.168.1.14:6443"
[discovery] Requesting info from "https://192.168.1.14:6443" again to validate TLS against the pinned public key
[discovery] Cluster info signature and contents are valid and TLS certificate validates against pinned roots, will use API Server "192.168.1.14:6443"
[discovery] Successfully established connection with API Server "192.168.1.14:6443"
[kubelet] Downloading configuration for the kubelet from the "kubelet-config-1.11" ConfigMap in the kube-system namespace
[kubelet] Writing kubelet configuration to file "/var/lib/kubelet/config.yaml"
[kubelet] Writing kubelet environment file with flags to file "/var/lib/kubelet/kubeadm-flags.env"
[preflight] Activating the kubelet service
[tlsbootstrap] Waiting for the kubelet to perform the TLS Bootstrap...
[patchnode] Uploading the CRI Socket information "/var/run/dockershim.sock" to the Node API object "cx-ccs-prod-worker-d7f34f25-f524-4f90-9037-7286202ed13a1" as an annotation

This node has joined the cluster:
* Certificate signing request was sent to master and a response
  was received.
* The Kubelet was informed of the new secure connection details.

Run 'kubectl get nodes' on the master to see this node join the cluster.
    25. Saia do trabalhador e verifique o status em um mestre por meio de nós kubectl get. Deve estar no status Pronto.

    26. Repita as etapas 20. 25. para cada trabalhador.

    27. Os últimos nós kubectl get devem mostrar que todos os nós estão no status "Pronto", novamente on-line e unidos ao cluster.

      [root@cx-ccs-prod-master-d7f34f25-f524-4f90-9037-7286202ed13a1 ~]# kubectl get nodes
NAME                                                       STATUS    ROLES     AGE       VERSION
cx-ccs-prod-master-d7f34f25-f524-4f90-9037-7286202ed13a1   Ready     master    1y        v1.11.6
cx-ccs-prod-master-d7f34f25-f524-4f90-9037-7286202ed13a2   Ready     master    1y        v1.11.6
cx-ccs-prod-master-d7f34f25-f524-4f90-9037-7286202ed13a3   Ready     master    1y        v1.11.6
cx-ccs-prod-worker-d7f34f25-f524-4f90-9037-7286202ed13a1   Ready     <none>    1y        v1.11.6
cx-ccs-prod-worker-d7f34f25-f524-4f90-9037-7286202ed13a2   Ready     <none>    1y        v1.11.6
cx-ccs-prod-worker-d7f34f25-f524-4f90-9037-7286202ed13a3   Ready     <none>    1y        v1.11.6
cx-ccs-prod-worker-d7f34f25-f524-4f90-9037-7286202ed13a4   Ready     <none>    1y        v1.11.6
cx-ccs-prod-worker-d7f34f25-f524-4f90-9037-7286202ed13a5   Ready     <none>    1y        v1.11.6
cx-ccs-prod-worker-d7f34f25-f524-4f90-9037-7286202ed13a6   Ready     <none>    1y        v1.11.6
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Shaun Roberts
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos