2024年07月15日00:00:00至2024年09月01日00:00:00期间,容器服务 Kubernetes 版将逐步更新ACK专有集群API Server使用的ClientCA证书,以延长ClientCA证书的过期时间,进一步保证集群安全。
变更时间
2024年07月15日00:00:00起逐步更新,于2024年09月01日00:00:00完成全量更新。
变更内容
在更新过程中,ACK管控侧通过阿里云系统运维管理OOS实现自动化运维任务更新,在ACK专有集群的所有Master节点自动更新/etc/kubernetes/pki/apiserver-ca.crt文件中的CA证书内容。apiserver-ca.crt文件是集群API Server的client-ca-file参数所引用的文件,用于ACK管控侧在访问集群API Server时进行TLS认证。
更新后的apiserver-ca.crt会有更长的过期时间,以确保阿里云管控对集群API Server请求链路的安全和稳定性。
影响范围
本次变更仅涉及ACK专有集群,其他集群类型均不受影响。运维期间ACK专有集群相关影响如下:
ACK管控侧执行的OOS任务只会更新集群API Server的ClientCA证书,同时收集当前集群证书过期时间用于后续更准确的轮转通知。这个过程不会影响集群中运行的业务,也不会重启集群API Server。
ACK管控侧只会采集如下证书公钥的过期时间,不会采集任何其他控制面和业务应用的信息。
名称
路径
集群API Server过期时间
/etc/kubernetes/pki/apiserver.crt
集群CA过期时间
/etc/kubernetes/pki/ca.crt
集群etcd服务端CA过期时间
/var/lib/etcd/cert/ca.pem