APIサーバーは、Container Service for Kubernetes (ACK) クラスターの主要な制御プレーンコンポーネントです。 APIサーバーは、内部LoopbackClientサーバー証明書とともにインストールされます。 コミュニティが提供する証明書の有効期間は1年です。 証明書は、APIサーバーポッドが再起動した場合にのみ自動的にローテーションされます。 コミュニティは現在、証明書の有効期間を延長する計画を持っていません。 詳細については、「 #86552」をご参照ください。
さまざまなO&M要件を満たすために、ACKは内部証明書の有効期間を10年に延長しました。
影響の範囲
ACK管理クラスターまたはACK専用クラスターのAPIサーバーの内部LoopbackClient証明書の有効期間は1年です。
2023年3月15日より前に作成されたACKクラスターの場合、APIサーバーの内部LoopbackClient証明書の有効期間は1年です。
2023年3月15日以降に作成または更新 (Kubernetes 1.20.11以降) されたACKクラスターの場合、APサーバーの内部LoopbackClient証明書の有効期間は10年です。 これらのクラスターは影響を受けません。
解決策
ACK管理クラスター
作成時間に基づいてACK管理クラスターが影響を受けるかどうかを確認します。 LoopbackClient証明書が1年間有効なACK管理クラスターの場合、ACKは2023年11月1日より前にAPIサーバーのチェックと再起動を完了します。 Alibaba CloudがAPIサーバーを再起動しない場合は、ACKクラスターをKubernetes 1.24以降のメジャーバージョンに更新します。 詳細については、「ACKクラスターの更新」をご参照ください。
ACK専用クラスター
マスターノードにログインし、次のコマンドを実行してLoopbackClient証明書の有効期限を照会します。
XX.XX.XX.XXをマスターノードのローカルIPアドレスに置き換えます。
curl --resolve apiserver-loopback-client:6443:xx.xx.xx.xx -k -v https://apiserver-loopback-client:6443/healthz 2>&1 |grep expireLoopbackClient証明書が期限切れまたは期限切れ (1年間の有効期間) になるACKクラスターの場合は、リリースノートに注意し、クラスターをKubernetes 1.24以降のメジャーバージョンに更新します。 クラスターをACK Proにアップグレードすることを推奨します。 詳細については、「ACKクラスターの更新」および「ACK専用クラスターからACK Proクラスターへのホットマイグレーション」をご参照ください。
アップグレードできないACK専用クラスターの場合は、すべてのマスターノードにログインし、APIサーバーを手動で再起動します。