2024年7月15日の00:00:00 (UTC + 8) から2024年9月1日の00:00:00 (UTC + 8) まで、Container Service for Kubernetes (ACK) は、ACK専用クラスターのAPIサーバーが使用するClientCA証明書を徐々に更新し、有効期限を延長し、クラスターのセキュリティを確保します。
スケジュールの変更
更新は2024年7月15日の00:00:00 (UTC + 8) に開始され、2024年9月1日の00:00:00 (UTC + 8) までに完了します。
更新の詳細
更新中、ACKコントロールプレーンはAlibaba CloudのCloudOps Orchestration Service (OOS) を使用してメンテナンスタスクを自動化します。 ACK専用クラスターのすべてのマスターノードの /etc/kubernetes/pki/apiserver-CA. crtファイルのca証明書を自動的に更新します。 apiserver-ca.crtファイルは、クラスターAPIサーバーのclient-ca-fileパラメーターによって参照されます。 このファイルは、クラスタAPIサーバにアクセスするためのTLS認証用のACK制御プレーンによって使用されます。
更新されたapiserver-ca.crtの有効期限が長くなり、クラスターAPIサーバーへのAlibaba Cloud制御リクエストチェーンのセキュリティと安定性が確保されます。
影響範囲
この変更は、ACK専用クラスターのみを対象としています。 他のクラスタータイプは影響を受けません。 メンテナンス期間中は、次の影響に注意してください。
ACK制御プレーンによって実行されるOOSタスクは、クラスタAPIサーバのClientCA証明書のみを更新する。 また、将来のより正確なローテーション通知のために、現在の証明書の有効期限を収集します。 このプロセスは、クラスターにデプロイされたサービスを中断することも、クラスターAPIサーバーを再起動することもありません。
ACK制御プレーンは、以下の証明書公開鍵の有効期限のみを収集し、他の制御プレーンまたはアプリケーション情報を収集しない。
名前
パス
クラスターAPIサーバーの有効期限
/etc/kubernetes/pki/apiserver.crt
クラスターCAの有効期限
/etc/kubernetes/pki/ca.crt
クラスターetcdサーバーCAの有効期限
/var/lib/etcd/cert/ca.pem