API Server是ACK叢集管控面的核心組件,其中內建了用於其內部LoopbackClient服務端工作的認證。該認證在社區版本中有效期間為1年且無法自動輪轉,只有當API Server Pod發生重啟時,才會自動輪轉更新。社區暫無延長該認證有效期間的計劃,更多資訊請參見#86552。
考慮到不同使用者的營運習慣,Container Service Kubernetes 版於近期調整了該內建認證的預設到期時間,修改後有效期間為10年。
影響範圍
API Server內建LoopbackClient認證的有效期間為1年的ACK託管叢集和ACK專有叢集。
在2023年03月15日之前建立的ACK叢集,API Server內建LoopbackClient認證的有效期間為1年。
在2023年03月15日及以後建立或升級至1.20.11或以上版本的ACK叢集,API Server內建LoopbackClient認證的有效期間為10年,不受影響。
解決方案
ACK託管叢集
根據叢集建立時間排查帳號內的ACK託管叢集是否在影響範圍內。對於LoopbackClient認證是1年期的ACK託管叢集,Container Service Kubernetes 版將於2023年11月01日前,完成所有託管側的自檢和滾動重啟。如果您不希望由阿里雲自動完成託管側API Server重啟,請及時將叢集升級至1.24或以上版本。具體操作,請參見升級ACK叢集。
ACK專有叢集
登入Master節點,執行以下命令,查詢LoopbackClient認證到期時間。
其中,XX.XX.XX.XX為Master節點的本地IP。
curl --resolve apiserver-loopback-client:6443:xx.xx.xx.xx -k -v https://apiserver-loopback-client:6443/healthz 2>&1 |grep expire對於已到期或即將到期的1年期認證叢集,請及時關注ACK叢集版本說明,並將叢集升級至1.24或以上版本,推薦遷移至ACK叢集Pro版。具體操作,請參見升級ACK叢集、熱遷移ACK專有版叢集至ACK叢集Pro版。
對於短期無法操作升級的ACK專有叢集,請登入叢集的所有Master節點,手動重啟API Server。