istio的ca证书过期,更新ca证书
很久不用的本地k8s集群,昨天登陆上去用下,新增pod的时候始终处于pending状态,describe pod ,显示这样一个问题:
Internal error occurred: failed calling webhook "sidecar-injector.istio.io": Post https://istio-sidecar-injector.istio-system.svc:443/inject?timeout=30s: x509: certificate has expired or is not yet valid
这段信息是直接告诉咱们是一个有关istio的证书过期了,随即去看istio-system下的所有pod,果然有个名为istio-citadel的pod的状态出问题了,查看此pod的日志,报错如下:
Error: failed to create discovery service: failed to create CA: failed to create an istiod CA: failed to create CA KeyCertBundle (cannot verify the cert with the provided root chain and cert pool with error: x509: certificate has expired or is not yet valid: current time ----- is before -----
明明白白的说了是ca证书过期了哈,此时咱们根据官方手册的指导,更新ca证书即可。
root-transition.sh这个shell脚本在外网,不太好拿,我这边把它设为资源,需要自取。
资源链接:istio更新ca证书的脚本-Linux文档类资源-CSDN下载
https://download.csdn.net/download/weixin_41069650/85443985
$ wget https://raw.githubusercontent.com/istio/tools/release-1.4/bin/root-transition.sh
$ chmod +x root-transition.sh
#检查用户是否有root权限
$ ./root-transition.sh check-root检查集群上istio的版本,如果低于1.0.8和1.1.8版本的最好升级下istio,否则istio服务可能不会自动绑定新生成的ca证书。
$ ./root-transition.sh check-version
Checking namespace: default
Istio proxy version: 1.3.5
Checking namespace: istio-system
Istio proxy version: 1.3.5
Istio proxy version: 1.3.5生成新的ca证书。
$ ./root-transition.sh root-transition
Create new ca cert, with trust domain as cluster.local
Wed Jun 5 19:11:15 PDT 2019 delete old ca secret
secret "istio-ca-secret" deleted
Wed Jun 5 19:11:15 PDT 2019 create new ca secret
secret/istio-ca-secret created
pod "istio-citadel-8574b88bcd-j7v2d" deleted
Wed Jun 5 19:11:18 PDT 2019 restarted Citadel, checking status
NAME READY STATUS RESTARTS AGE
istio-citadel-8574b88bcd-l2g74 1/1 Running 0 3s
New root certificate:
Certificate:Data:...ValidityNot Before: Jun 6 03:24:43 2019 GMTNot After : Jun 3 03:24:43 2029 GMTSubject: O = cluster.local...
Your old certificate is stored as old-ca-cert.pem, and your private key is stored as ca-key.pem
Please save them safely and privately.可以看到打印出的信息中,删掉了旧的istio-ca-secret,,生成了一个新的,然后重新启动istio-citadel的pod,说明新的ca证书已经生成并且被成功绑定啦!
最后在集群中再次尝试生成pod,顺利实现!
istio的ca证书过期,更新ca证书相关推荐
- vsphere 7.x证书过期更新
1.vSphere Web界面更新 需要注意的是,在vSphere Web页面中更新的证书仅仅是Machine的证书,vCenter需要使用的其他证书并没有更新. 2.命令方式更新 查看哪些证书过期: ...
- 服务器证书过期时间,ssl证书过期时间监控
前几天,因为网易邮箱有部分域名的ssl证书过期,导致很多苹果用户的手机遇到疯狂弹窗,提示无法验证服务器身份.在我看来,这肯定是运维的锅了. 即使ssl厂商有续费提示,但是有可能因为人为的原因或者沟通的 ...
- SQLServer证书过期,重做证书
(1)查询证书相关信息 SELECT * FROM sys.certificates 查看证书 SELECT * FROM sys.endpoints 查看端点 SELECT * FROM sys.s ...
- 微信API证书过期,获取API证书
在做微信如:(退款.企业红包.企业付款)提现这些操作的时候,微信返回(具体哪个字段我忘记了)的信息是:证书过期,那么就需要重新获取证书,证书的获取前提条件: 1:你需要有微信商户平台的商户号(类似电话 ...
- curl证书过期_curl t 证书过期
{"moduleinfo":{"card_count":[{"count_phone":1,"count":1}],&q ...
- Rancher 轮换证书 和 Rancher 自身证书过期处理
1. 进入 rancher server 容器,执行相关操作 docker exec -it rancher /bin/sh kubectl --insecure-skip-tls-verify -n ...
- SSL证书为什么会有有效期 如何有效避免SSL证书过期
过去这些年里,证书过期事件曾在众多大型企业,甚至是国外的政府机构网站中屡次发生,据<企业数字证书管理安全调查2019>权威报告统计,74%的组织经历过由于SSL证书过期导致的停机,每个组织 ...
- SSL(HTTPS)证书过期的问题
以下内容由便宜SSL证书提供商--SSL盾发布 我们都知道SSL证书对网站安全至关重要,但是SSL证书并非一经申请就永久有效的,换句话说SSL证书是有有效期的,从安全的角度来说,颁发SSL证书的CA机 ...
- SSL证书会过期的原因有哪些?怎么解决SSL证书过期
全站HTTPS的时代已经到来,各大网站纷纷部署SSL证书.SSL证书的作用是让信息通过安全的方式进行交换,此信息通常是敏感信息,包括账号密码.银行卡详细信息.手机号码等.但是SSL证书具有设定的到期日 ...
最新文章
- 网络编程(原始套接字)
- 【DeepLearning工具】Fedora下安装theano
- linux记录iptables日志,iptables日志管理
- Beautiful Sequence CodeForces - 1264B(暴力)
- Linux学习笔记(五)
- 一个牛人给JAVA初学者的建议。虽然岁月漫长,但仍值得等待
- 现代软件工程 第五章 【团队和流程】练习与讨论
- java 嵌套调用_Java嵌套类的使用
- 修改MySQL自动递增值
- 8 SystemVerilog语言编写UART发送
- 中芯国际能靠14nm工艺翻身么?
- 令人期待的php7.4,PHP7.4新特性
- System Center 2016组件将发生什么变化?
- 笨方法学Python
- Adobe Premiere Pro 如何打开webm格式媒体
- 0到50带圆圈的数字序号有需要的吗:)
- 充电器input与output_input和output的区别
- 高等数学 —— 二元函数极值存在定理与拉格朗日乘数法求最值
- 10大主流性能测试工具,总有一款适合你
- UI开发之用PS给图片加水印