KubeSphere 镜像构建器(S2I)服务证书过期(x509)问题
前言
因公司的中科金财区块链项目是跑在k8s上,且这个区块链服务是与ks深度捆绑的,21年时候就已在生产运行至今,最近技术同事反馈项目无法进行上链构建工作,通过查看日志与报错发现是证书过期导致的。虽然2月份已出现并修复过,奈何最近厂家又让更新ks-api镜像后又出现此故障,其实也挺坑了的,一个问题拖了8个月后让更新ks-api的镜像包后又不管了。(吐槽话可忽略)
问题
通过在ks社区,官方已经告知问题。https://ask.kubesphere.io/forum/d/23239-kubesphere-jing-xiang-gou-jian-qi-s2ifu-wu-zheng-shu-guo-qi-x509wen-ti
目前 KubeSphere 所有 3.x.x 版本,如果开启了 DevOps 模块并使用了镜像构建器功能(S2I)都会遇到证书过期问题。刚好符合此要求。
解决步骤
点击上面链接,下载更新 S2I 服务证书的压缩包,上传到任一可以访问 k8s 集群的节点,然后在此节点上执行下面三步:
- 把上传的压缩包解压
- 进入解压后的目录
- 执行更新证书的脚本 ./update-s2i-cert.sh
# 上传压缩包到可访问 k8s 集群的节点
...
# 解压缩
$ tar -zxvf update-s2i-cert.tar.gz
update-s2i-cert/
update-s2i-cert/config/
update-s2i-cert/config/certs/
update-s2i-cert/config/certs/server.crt
update-s2i-cert/config/certs/ca.crt
update-s2i-cert/config/certs/server.key
update-s2i-cert/update-s2i-cert.sh
# 执行更新证书脚本
$ cd update-s2i-cert
$ ./update-s2i-cert.sh
Update Secret: s2i-webhook-server-cert..
secret/s2i-webhook-server-cert patched
Update ValidatingWebhookConfiguration validating-webhook-configuration..
validatingwebhookconfiguration.admissionregistration.k8s.io/validating-webhook-configuration patched
Update MutatingWebhookConfiguration mutating-webhook-configuration..
mutatingwebhookconfiguration.admissionregistration.k8s.io/mutating-webhook-configuration patched
Restart s2ioperator server..
statefulset.apps/s2ioperator restarted
Done.
...
执行完上面3步后,等待 pod s2ioperator-0 重启成功就可以了。
参考
1.https://ask.kubesphere.io/forum/d/23239-kubesphere-jing-xiang-gou-jian-qi-s2ifu-wu-zheng-shu-guo-qi-x509wen-ti