文档首页/ 云容器引擎 CCE/ API参考/ API/ 集群管理/ 轮转用户的集群证书 - RotateClusterCredentials
更新时间:2026-04-24 GMT+08:00
在线调试
CLI示例
查看PDF
分享

轮转用户的集群证书 - RotateClusterCredentials

功能介绍

该API用于轮转指定集群的证书

只支持1.19及以上集群版本

操作完成后,用户集群组件的证书有效期会续期5年。

调用方法

请参见如何调用API

授权信息

账号具备所有API的调用权限,如果使用账号下的IAM用户调用当前API,该IAM用户需具备调用API所需的权限。

  • 如果使用角色与策略授权,具体权限要求请参见权限和授权项
  • 如果使用身份策略授权,需具备如下身份策略权限。

    授权项

    访问级别

    资源类型(*为必须)

    条件键

    别名

    依赖的授权项

    cce:cluster:rotateCredentials

    Write

    cluster *

    • g:EnterpriseProjectId

    • g:ResourceTag/<tag-key>

    -

    -

URI

POST /api/v3/projects/{project_id}/clusters/{cluster_id}/rotatecredentials

表1 路径参数

参数

是否必选

参数类型

描述

project_id

String

参数解释:

项目ID,获取方式请参见如何获取接口URI中参数

约束限制:

不涉及

取值范围:

账号的项目ID

默认取值:

不涉及

cluster_id

String

参数解释:

集群ID,获取方式请参见如何获取接口URI中参数

约束限制:

不涉及

取值范围:

集群ID

默认取值:

不涉及

请求参数

表2 请求Header参数

参数

是否必选

参数类型

描述

Content-Type

String

参数解释:

消息体的类型(格式)

约束限制:

GET方法不做校验

取值范围:

  • application/json

  • application/json;charset=utf-8

  • application/x-pem-file

  • multipart/form-data(注:存在FormData参数时使用)

默认取值:

不涉及

X-Auth-Token

String

参数解释:

调用接口的认证方式分为Token和AK/SK两种,如果您使用的Token方式,此参数为必填,请填写Token的值,获取方式请参见获取token

约束限制:

不涉及

取值范围:

不涉及

默认取值:

不涉及
表3 请求Body参数

参数

是否必选

参数类型

描述

component

String

参数解释:

需要轮转的组件名称。

约束限制:

不涉及

取值范围:

  • all:轮转CCE集群证书。

  • service-account-controller:轮转ServiceAccount token相关证书。

  • custom:轮转用户自有证书,指定此参数时,需同时指定certContent参数。

默认取值:

不涉及

certificateExpirationTime

Integer

参数解释:

轮转证书后,用于验证ServiceAccount Token签名的旧证书保留时间。

为了保证基于旧证书签发的ServiceAccount Token在证书轮转后能验签通过,CCE会保留老证书一段时间,具体规则如下:

  • 首次轮转时,CCE会保留创建集群时生成的证书;

  • 从第二次轮转开始,CCE会保留老证书一段时间,默认24小时。用户可以通过当前参数配置保留的时间。

约束限制:

不涉及

取值范围:

0-8784(小时)

默认取值:

24(小时)

certContent

AuthenticatingProxy object

参数解释:

证书详情。

约束限制:

component指定为custom时必选。
表4 AuthenticatingProxy

参数

是否必选

参数类型

描述

ca

String

参数解释:

authenticating_proxy模式配置的x509格式CA证书(base64编码)。

约束限制:

当集群认证模式为authenticating_proxy时,此项必须填写。

取值范围:

最大长度:1M。

默认取值:

不涉及

cert

String

参数解释:

authenticating_proxy模式配置的x509格式CA证书签发的客户端证书,用于kube-apiserver到扩展apiserver的认证。(base64编码)。

约束限制:

当集群认证模式为authenticating_proxy时,此项必须填写。

取值范围:

最大长度:1M。

默认取值:

不涉及

privateKey

String

参数解释:

authenticating_proxy模式配置的x509格式CA证书签发的客户端证书时对应的私钥,用于kube-apiserver到扩展apiserver的认证。Kubernetes集群使用的私钥尚不支持密码加密,请使用未加密的私钥。(base64编码)。

约束限制:

当集群认证模式为authenticating_proxy时,此项必须填写。

取值范围:

最大长度:1M。

默认取值:

不涉及

响应参数

状态码:200

表5 响应Body参数

参数

参数类型

描述

jobid

String

参数解释:

提交任务成功后返回的任务ID,用户可以使用该ID对任务执行情况进行查询。

约束限制:

不涉及

取值范围:

不涉及

默认取值:

不涉及

请求示例

POST /api/v3/projects/{project_id}/clusters/{cluster_id}/rotatecredentials

{
  "component" : "service-account-controller"
}

响应示例

状态码:200

表示在指定集群轮转证书的作业下发成功。

{
  "jobid" : "2ec9b78d-9368-46f3-8f29-d1a95622a568"
}

状态码

状态码

描述

200

表示在指定集群轮转证书的作业下发成功。

错误码

请参见错误码

父主题: 集群管理

相关文档