API Server是ACK集群管控面的核心组件,其中内置了用于其内部LoopbackClient服务端工作的证书。该证书在社区版本中有效期为1年且无法自动轮转,只有当API Server Pod发生重启时,才会自动轮转更新。社区暂无延长该证书有效期的计划,更多信息请参见#86552。
考虑到不同用户的运维习惯,容器服务 Kubernetes 版于近期调整了该内置证书的默认过期时间,修改后有效期为10年。
影响范围
API Server内置LoopbackClient证书的有效期为1年的ACK托管集群和ACK专有集群。
在2023年03月15日之前创建的ACK集群,API Server内置LoopbackClient证书的有效期为1年。
在2023年03月15日及以后新建或升级至1.20.11或以上版本的ACK集群,API Server内置LoopbackClient证书的有效期为10年,不受影响。
解决方案
ACK托管集群
根据集群创建时间排查账号内的ACK托管集群是否在影响范围内。对于LoopbackClient证书是1年期的ACK托管集群,容器服务 Kubernetes 版将于2023年11月01日前,完成所有托管侧的自检和滚动重启。如果您不希望由阿里云自动完成托管侧API Server重启,请及时将集群升级至1.24或以上版本。具体操作,请参见升级ACK集群。
ACK专有集群
登录Master节点,执行以下命令,查询LoopbackClient证书过期时间。
其中,XX.XX.XX.XX
为Master节点的本地IP。
curl --resolve apiserver-loopback-client:6443:xx.xx.xx.xx -k -v https://apiserver-loopback-client:6443/healthz 2>&1 |grep expire
对于已过期或即将过期的1年期证书集群,请及时关注ACK集群版本说明,并将集群升级至1.24或以上版本,推荐迁移至ACK集群Pro版。具体操作,请参见升级ACK集群、热迁移ACK专有版集群至ACK集群Pro版。
对于短期无法操作升级的ACK专有集群,请登录集群的所有Master节点,手动重启API Server。