Как правильно проверить сертификаты k8s для версии 1.12.3?

Question

[Николай Бараненко]

Здравствуйте.

Есть kubernetes кластер из 3-х мастер нод, 5 ворк нод, 3  etcd  нодами.
подошло время сделать update сертификатов.
Все бы ничего, но версия k8s - v1.12.3

в общем как в 1.15 воспользоваться

kubeadm certs check-expiration
не получится

нашел еще такой вариант

echo | openssl s_client -showcerts -connect master_node1:6443 -servername api 2>/dev/null | openssl x509 -noout -enddate

достаточно ли его будет?

Answer 1

[mureevms]

Если просто проверить, то достаточно. Удобнее будет сделать цикл:

for DOMAIN in host1.com host2.com host3.com
do
	DOMAIN_EXPIRES=$(echo | openssl s_client -connect $DOMAIN:443 2>/dev/null | openssl x509 -noout -dates | grep notAfter | awk -F= '{print $2}')
	echo $DOMAIN: $DOMAIN_EXPIRES
done

Comments

[Николай Бараненко]

есть ли возможность проверить по-другому, чтобы получить типа такого как в 1.15?

CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
admin.conf                 Dec 30, 2020 23:36 UTC   364d                                    no
apiserver                  Dec 30, 2020 23:36 UTC   364d            ca                      no
apiserver-etcd-client      Dec 30, 2020 23:36 UTC   364d            etcd-ca                 no
apiserver-kubelet-client   Dec 30, 2020 23:36 UTC   364d            ca                      no
controller-manager.conf    Dec 30, 2020 23:36 UTC   364d                                    no
etcd-healthcheck-client    Dec 30, 2020 23:36 UTC   364d            etcd-ca                 no
etcd-peer                  Dec 30, 2020 23:36 UTC   364d            etcd-ca                 no
etcd-server                Dec 30, 2020 23:36 UTC   364d            etcd-ca                 no
front-proxy-client         Dec 30, 2020 23:36 UTC   364d            front-proxy-ca          no
scheduler.conf             Dec 30, 2020 23:36 UTC   364d                                    no

CERTIFICATE AUTHORITY   EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
ca                      Dec 28, 2029 23:36 UTC   9y              no
etcd-ca                 Dec 28, 2029 23:36 UTC   9y              no
front-proxy-ca          Dec 28, 2029 23:36 UTC   9y              no

[mureevms]

Николай Бараненко, к сожалению не работал с k8s, поэтому не подскажу