更新集群证书
通常情况下,Kubernetes集群依赖于多个证书链和凭据,这些证书的有效期管理和及时更新对于确保集群及其工作负载的安全性和完整性至关重要。CCE在创建集群时,会自动生成集群证书,用于保障CCE控制平面组件(kube-apiserver、etcd、kube-controller-manager、kube-scheduler等)与集群节点之间通信的安全,同时支持用户指定自有证书,用于认证代理使用,也用于配置kube-apiserver聚合层。当证书即将到期时,如果不能及时更新,可能会导致集群功能异常,影响业务的正常运行。
CCE集群的证书默认有效期为5年,随着证书到期时间临近,用户需要更新这些证书以避免因证书过期而导致的服务中断。为此,CCE提供了证书更新功能,支持用户在证书到期前通过控制台或API手动触发证书更新操作,同时系统会在证书到期前6个月分别发出提醒,在CCE控制台展示证书过期的按钮,同时会通过消息中心通知用户,确保用户能够及时采取行动,保障集群的持续安全运行。
注意事项
- CCE集群证书更新仅支持v1.19及以上版本集群,低版本集群需先升级集群。
- 证书更新过程中,API Server访问会短暂中断,可能影响依赖API Server的工作负载,请选择业务低峰的时间段进行更新,以减少业务影响。
- 证书更新过程中,会重启节点上的Kubernetes组件,如果安装了节点故障检测插件可能会产生插件异常的告警,属于正常现象。
- 证书更新过程中,请勿对集群做变更类操作。
- 更新时长受节点数量影响,一般为10~15分钟,更新成功后,相应证书有效期五年。
- 若集群证书已经到期,请联系技术支持处理。
更新CCE集群证书说明
在证书到期前,会在CCE控制台集群列表页或集群概览页面,提示更新证书按钮。同时也会通过站内信、邮件和短信等渠道进行提醒,详情请参见配置消息提醒。
- 集群证书在30天内即将到期:访问CCE控制台时会产生证书到期提醒,并在集群列表中进行提示。同时,如果单击集群名称查看集群详情,也会在集群概览页面进行提示。
- 集群证书在180天内即将到期:单击集群名称查看集群详情时,会在集群概览页面进行提示。
单击“更新证书”按钮,您需要仔细阅读风险提示,并根据提示完成证书的自动更新。
控制节点证书用户不感知,工作节点涉及更新的证书列表如下:
|
证书 |
证书路径 |
证书有效期 |
|---|---|---|
|
kube-node-tls.crt kube-node-tls.key |
/var/paas/srv/kubernetes |
初始证书有效期5年,更新证书后有效期延长5年 |
|
kube-proxy-tls.crt kube-proxy-tls.key |
/var/paas/srv/kubernetes |
初始证书有效期5年,更新证书后有效期延长5年 |
|
kubelet-client-current.pem kubelet-server-current.pem |
/opt/cloud/cce/kubernetes/kubelet/pki/ |
过期前自动更新,有效期1年 |
|
kubecfg.crt kubecfg_crypto.key |
/var/paas/srv/kubernetes |
初始证书有效期5年,更新证书后有效期延长5年 |
若您在创建集群时指定了自有证书,则在自有证书过期前,也会在CCE控制台集群列表页或集群概览页面,提示更新证书按钮,提示规则与系统生成的集群证书一致。您可以根据提示上传CA根证书、客户端证书、客户端证书私钥,完成证书的自动更新。
检查证书到期日期
您可以通过API接口查询集群的证书到期时间,详情请参见获取指定的集群、获取指定项目下的集群。关于如何调用接口,请参见构造请求。
本文以获取指定的集群接口为例,介绍如何检查证书到期日期。该接口URI如下:
GET /api/v3/projects/{project_id}/clusters/{cluster_id}
|
参数 |
描述 |
|---|---|
|
project_id |
项目ID,获取方式请参见如何获取接口URI中参数。 |
|
cluster_id |
集群ID,获取方式请参见如何获取接口URI中参数。 |
获取指定的集群的请求体示例如下:
