[TOC]
本文介绍如何重新构建kubeadm(k8s-v1.23.3)二进制文件,以解决证书只有一年有效期的问题。
### **环境准备**
本文准备了一台虚拟机,配置如下:
* 硬件配置:2C4G150G
* 系统内核:CentOS-7.6 + Kernel-4.19.12
* 用户:root
* 注意:无须安装go,因为使用镜像构建
### **安装docker及buildx插件、rsync**
1、安装docker及buildx插件
根据[K8S官方文档的指引](https://github.com/kubernetes/kubernetes/blob/v1.23.3/build/README.md#requirements),主机需要安装Docker及Docker插件buildx。
根据[buildx的文档](https://github.com/docker/buildx/blob/master/README.md#installing)介绍,buildx插件要求Docker的版本在19.03+。同时,在Linux环境中,如果使用DEB或RPM包安装Docker的话,已经自带了buildx插件。
所以,本文我们使用yum来安装docker,安装的docker版本为20.10,版本信息如下:
```
$ docker -v
Docker version 20.10.12, build e91ed57
```
可以使用如下的命令验证buildx插件已经安装成功:
```
$ docker buildx version
github.com/docker/buildx v0.7.1-docker 05846896d149da05f3d6fd1e7770da187b52a247
```
2、安装rsync
另外,还需要安装rsync,构建脚本用它来同步容器里面的构建好的kubeadm二进制文件到主机上:
```
$ yum -y install rsync
```
### **下载源码及修改**
本文我们将要构建的版本为kubernetes-v1.23.3,所以我们下载这个版本的k8s源码包,github的下载地址为https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.23.3.tar.gz。
下载完成后,得到一个tar包v1.23.3.tar.gz。我们把它放在主机的`/root`目录下,然后进行解压:
```
$ tar xzvf v1.23.3.tar.gz
```
解压得到一个文件夹`kubernetes-1.23.3`,我们把它重命名为kubernetes,并进入到源码根目录下
```
$ mv kubernetes-1.23.3 kubernetes
$ cd kubernetes/
```
编辑`staging/src/k8s.io/client-go/util/cert/cert.go`,修改如下一行,把CA证书的有效期从10年改成100年
```
// NewSelfSignedCACert creates a CA certificate
func NewSelfSignedCACert(cfg Config, key crypto.Signer) (*x509.Certificate, error) {
now := time.Now()
tmpl := x509.Certificate{
SerialNumber: new(big.Int).SetInt64(0),
Subject: pkix.Name{
CommonName: cfg.CommonName,
Organization: cfg.Organization,
},
DNSNames: []string{cfg.CommonName},
NotBefore: now.UTC(),
NotAfter: now.Add(duration365d * 100).UTC(), // 修改这一行
KeyUsage: x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature | x509.KeyUsageCertSign,
BasicConstraintsValid: true,
IsCA: true,
}
certDERBytes, err := x509.CreateCertificate(cryptorand.Reader, &tmpl, &tmpl, key.Public(), key)
if err != nil {
return nil, err
}
return x509.ParseCertificate(certDERBytes)
}
```
修改文件`cmd/kubeadm/app/constants/constants.go`,找到如下一段,把`time.Hour * 24 * 365`改成`time.Hour * 24 * 365 * 100`,那么证书就是百年有效期:
```
const (
...
// CertificateValidity defines the validity for all the signed certificates generated by kubeadm
CertificateValidity = time.Hour * 24 * 365 * 100
```
### **构建kubeadm**
指引文档的 [Key Scripts 章节](https://github.com/kubernetes/kubernetes/blob/v1.23.3/build/README.md#key-scripts) 对脚本的使用做了介绍
![](https://img.kancloud.cn/3e/2c/3e2c3c7ba680465a594248ae333c0a2b_1121x498.png)
我们可以使用上面红色框内的命令来构建kubeadm,执行以下命令构建kubeadm:
```
$ build/run.sh make kubeadm KUBE_BUILD_PLATFORMS=linux/amd64
```
> 注意:上面的脚本在执行过程中会去下载一个`k8s.gcr.io/build-image/kube-cross`镜像,镜像版本号为文件`build/build-image/cross/VERSION`的内容,我们可以先提前下载好这个镜像再执行上面的命令:
> $ docker pull k8s.gcr.io/build-image/kube-cross:v1.23.0-go1.17.6-bullseye.0
> 这个镜像在国内可能下载不下来,我已经把它上传到阿里云,可以先从阿里云下载,然后再重命名:
> $ docker pull registry.cn-beijing.aliyuncs.com/pshizh/kube-cross:v1.23.0-go1.17.6-bullseye.0
> $ docker tag registry.cn-beijing.aliyuncs.com/pshizh/kube-cross:v1.23.0-go1.17.6-bullseye.0 k8s.gcr.io/build-image/kube-cross:v1.23.0-go1.17.6-bullseye.0
build/run.sh命令执行成功后,在`/root/kubernetes`目录下会有一个`_output`文件夹,kubeadm二进制文件就在`_output/dockerized/bin/linux/amd64/`目录下,执行命令查看它的版本及构建日期:
```
$ _output/dockerized/bin/linux/amd64/kubeadm version
kubeadm version: &version.Info{Major:"1", Minor:"23", GitVersion:"v1.23.3", GitCommit:"816c97ab8cff8a1c72eccca1026f7820e93e0d25", GitTreeState:"archive", BuildDate:"2022-03-01T08:10:46Z", GoVersion:"go1.17.6", Compiler:"gc", Platform:"linux/amd64"}
```
### **验证**
我们使用上面的kubeadm来安装一个K8S集群,在Master节点上的`/etc/kubernetes/pki`目录下,我们查看apiserver.crt证书的有效期,如下,为一百年:
```
$ openssl x509 -noout -dates -in /etc/kubernetes/pki/apiserver.crt
notBefore=Mar 1 08:49:42 2022 GMT
notAfter=Feb 5 08:49:42 2122 GMT
```
### **参考**
* https://github.com/kubernetes/kubernetes/blob/v1.23.3/build/README.md
* https://github.com/docker/buildx/blob/master/README.md
- 常用命令
- 安装
- 安装Kubeadm
- 安装单Master集群
- 安装高可用集群(手动分发证书)
- 安装高可用集群(自动分发证书)
- 启动参数解析
- certificate-key
- ETCD相关参数
- Kubernetes端口汇总
- 安装IPv4-IPv6双栈集群
- 下载二进制文件
- 使用Kata容器
- 快速安装shell脚本
- 存储
- 实践
- Ceph-RBD实践
- CephFS实践
- 对象存储
- 阿里云CSI
- CSI
- 安全
- 认证与授权
- 认证
- 认证-实践
- 授权
- ServiceAccount
- NodeAuthorizor
- TLS bootstrapping
- Kubelet的认证
- 准入控制
- 准入控制示例
- Pod安全上下文
- Selinux-Seccomp-Capabilities
- 给容器配置安全上下文
- PodSecurityPolicy
- K8S-1.8手动开启认证与授权
- Helm
- Helm命令
- Chart
- 快速入门
- 内置对象
- 模板函数与管道
- 模板函数列表
- 流程控制
- Chart依赖
- Repository
- 开源的Chart包
- CRD
- CRD入门
- 工作负载
- Pod
- Pod的重启策略
- Container
- 探针
- 工作负载的状态
- 有状态服务
- 网络插件
- Multus
- Calico+Flannel
- 容器网络限速
- 自研网络插件
- 设计文档
- Cilium
- 安装Cilium
- Calico
- Calico-FAQ
- IPAM
- Whereabouts
- 控制平面与Pod网络分开
- 重新编译
- 编译kubeadm
- 编译kubeadm-1.23
- 资源预留
- 资源预留简介
- imagefs与nodefs
- 资源预留 vs 驱逐 vs OOM
- 负载均衡
- 灰度与蓝绿
- Ingress的TLS
- 多个NginxIngressController实例
- Service的会话亲和
- CNI实践
- CNI规范
- 使用cnitool模拟调用
- CNI快速入门
- 性能测试
- 性能测试简介
- 制作kubemark镜像
- 使用clusterloader2进行性能测试
- 编译clusterloader2二进制文件
- 搭建性能测试环境
- 运行density测试
- 运行load测试
- 参数调优
- Measurement
- TestMetrics
- EtcdMetrics
- SLOMeasurement
- PrometheusMeasurement
- APIResponsivenessPrometheus
- PodStartupLatency
- FAQ
- 调度
- 亲和性与反亲和性
- GPU
- HPA
- 命名规范
- 可信云认证
- 磁盘限速
- Virtual-kubelet
- VK思路整理
- Kubebuilder
- FAQ
- 阿里云日志服务SLS