k8s證書過期

一、什麼是Kubernetes

Kubernetes是一個開源的容器編排平台，為容器化應用提供自動化部署、擴展和運維的機制。Kubernetes能夠自動管理容器化應用的負載均衡、服務註冊、故障恢復、伸縮以及安全等方面。

二、證書在Kubernetes中的作用

在Kubernetes集群中使用TLS是一個非常重要的安全實踐。TLS是一個基於證書的協議，它可以有效地防止窺探者在網路中惡意攔截、竊聽和篡改數據。Kubernetes支持使用自簽發或權威CA頒發的證書保護API伺服器和通信。

在Kubernetes中，證書用於對服務、etcd、kube-apiserver等部分進行安全加密，並鑒權kubelet。如果證書失效或被惡意攻擊，將導致集群運行受到威脅，因此證書的管理和維護非常重要。

三、證書過期的可能性

證書過期是Kubernetes集群中比較普遍的問題。證書過期通常是由以下幾個原因導致的：

1. 證書有效期設置不當

過長的證書有效期限制了更新頻率，一旦證書被攻擊或失效，就會對集群造成長時間的安全隱患。過短的證書有效期，可能導致頻繁的證書更新，增加了維護難度。建議將證書有效期設置為1年左右，並定期更新和替換證書。

2. 系統時間不同步

證書的有效期是基於系統時間的，如果系統時間不同步，則證書的有效期會出現偏差。因此，建議設置時間同步機制，保證系統時間的穩定性。

3. 證書文件刪除或丟失

在管理Kubernetes集群時，可能會誤刪除或誤操作證書文件，或者證書文件丟失等問題。這個問題可以通過備份證書文件、或在允許的情況下通過工具重新生成證書文件。

四、如何解決證書過期問題

對於證書過期問題，我們可以採取以下措施來解決：

1. 檢查證書有效期

$ openssl x509 -noout -dates -in /etc/kubernetes/pki/apiserver.crt
notBefore=Jul 11 06:32:38 2020 GMT
notAfter=Jul 11 06:33:58 2021 GMT

使用上述命令可以檢查證書的有效期。如果證書將在一個月內過期，則需要立即更新證書。可以使用相同的CSR重新申請證書，然後將其更新到集群中。

2. 更新證書

當證書過期前的1個月左右，應該開始更新證書。更新證書可以採取以下步驟：

1) 生成新的證書

$ openssl req -new -key apiserver.key -out new.csr -subj "/CN=kube-apiserver.kubernetes.io" -config openssl.cnf
$ openssl x509 -req -in new.csr -CA /etc/kubernetes/pki/ca.crt \
           -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial \
           -out new.crt -days 365 -extensions v3_req -extfile openssl.cnf

使用上述命令可以生成新的證書，其中new.csr是通過原證書的key生成的。新生成的證書在生成時，應該遵循原有證書的配置，certificates.crt應該包含新證書和原證書。

2) 更新kube-apiserver

在主節點上，容器的kube-apiserver容器可以自動讀取證書文件。但修改後Kubelet不會自動讀取文件，需要通過kubeadm進行更新：

$ kubeadm alpha certs renew apiserver
$ systemctl restart kubelet

3. 預防證書過期

為了避免證書過期問題的發生，我們可以採取以下預防措施：

1) 配置自動更新

可以通過設置kube-controller-manager的–experimental-cluster-signing-duration參數和kubelet的–rotate-certificates參數，為證書設置自動更新機制。這將幫助我們在證書過期之前更新證書。

2) 使用證書管理工具

為了方便證書的管理和更新，我們可以使用證書管理工具。Kubernetes集群管理員可以使用工具，比如cert-manager和Cfssl等，幫助自動管理證書的生成、更新、過期等事宜。

總結

證書過期是Kubernetes集群中普遍存在的安全問題。為了避免證書過期問題的出現，我們可以設置證書的有效期，使用自動更新機制，或使用證書管理工具等方式有效地預防證書過期問題的出現。