平台组件证书
平台组件证书是平台上的组件之间进行网络通信时,用于验证彼此身份的证明。证书过期将导致平台功能不可用。
当集群已部署了监控组件,且监控组件运行正常时,平台证书管理 页面中查看平台组件证书的信息。
证书告警:证书即将到期或已过期时,都会触发告警,且会使用平台的默认通知策略(cpaas-admin-notification,平台部署时手动创建)向通知对象发送告警消息。同时,可在平台的 运维中心 > 告警 页面,查看详细的告警信息。
即将到期的证书在更新成功之前,证书即将到期的告警策略会持续处于 告警 状态,请及时更新证书。
通用的证书所在位置查询命令:kubectl get secrets -n <命名空间> <证书名称>;少数证书的位置或位置查询命令比较特殊,具体请参见 证书名称 的说明。
cert-manager:Cert-manager 是一个 Kubernetes addon 插件,用于兼容不同的证书颁发者并自动化管理和签发 TLS 证书。Cert-manager 会保证证书的合法性,并会在证书到期前尝试自动轮换证书。
基础平台
| 组件名称 | 证书名称 | 签发方式 | 签发时长 | 过期影响 | 到期更新方式 |
|---|---|---|---|---|---|
| elasticsearch | elasticsearch-node0-cert | cert-manager 签发 | 10 年 | Elasticsearch 不可用 | cert-manager 自动更新 |
| dex | dex.tls | openssl 签发或 cert-manager 签发 | 10 年 | 平台用户认证功能不可用 global ingress 不可用 |
自签证书由 cert-manager 自动更新 第三方证书更新请联系技术支持 |
| courier | courier-webhook-cert | cert-manager 签发 | 10 年 | 通知功能不可用 | cert-manager 自动更新 |
| warlock | warlock-serving-cert | cert-manager 签发 | 10 年 | 告警状态及告警静默功能不可用 | cert-manager 自动更新 |
| prometheus-operator | prometheus-operator-admission | cert-manager 签发 | 10 年 | 创建告警功能不可用 | cert-manager 自动更新 |
| cluster-transformer | cluster-transformer-cert | cert-manager 签发 | 10 年 | 影响集群管理功能 | cert-manager 自动更新 |
| auth-controller2 | auth-controller2-webhook-cert | cert-manager 签发 | 10 年 | 角色分配的鉴权不可用 | cert-manager 自动更新 |
| TKE 相关组件 tke-platform-api tke-platform-controller |
tke-admin-cert tke-etcd-cert tke-server-cert |
cert-manager 签发 | 10 年 | 集群管理功能不可用 | cert-manager 自动更新 |
| 容灾集群相关组件 | etcd-master-mirror-cert etcd-slave-mirror-cert |
kubectl 生成 | 10 年 | 容灾集群的数据无法同步 | 不支持更新 |
| base-operator | tls.crt 证书位置:base-operator 容器 “/opt/” 路径下 |
镜像中的启动脚本签发 | 10 年 | 影响平台升级 | 重启 base-operator Pod |
| sentry | tls.crt 证书位置:sentry 容器 “/tmp/” 路径下 |
镜像中的启动脚本签发 | 10 年 | 影响平台组件部署、更新 | 重启 sentry Pod |
| apollo | apollo-serving-cert | cert-manager 自动更新 | 10 年 | 影响监控、用户、日志高级 API 的访问 | cert-manager 自动更新 |
| sentry | cpaas-system | cert-manager 自动更新 | 10 年 | 访问业务集群组件的 https 端口(11781)时可能报错 | cert-manager 自动更新 |
Container Platform
| 组件名称 | 证书名称 | 签发方式 | 签发时长 | 过期影响 | 到期更新方式 |
|---|---|---|---|---|---|
| metis | metis-serving-cert | cert-manager 签发 | 10 年 | 容器组超售、更新时间相关功能不可用 operator 镜像更新功能不可用 |
cert-manager 自动更新 |
| kubevirt | - kubevirt-ca - kubevirt-controller-certs - kubevirt-operator-certs - kubevirt-virt-api-certs - kubevirt-virt-handler-certs - kubevirt-virt-handler-server-certs |
kubevirt-operator 代码实现的 cert-manager 签发 | ca 证书:7 天 由 ca 签发的各组件(包括 kubevirt-virt-api-certs、virt-controller、virt-handler、virt-operator、virt-launcher)证书:1 天 提示:支持通过修改 kubevirt cr 中定义的 spec.certificateRotateStrategy.selfSigned 字段,修改证书的时长。如下图所示: |
虚拟化部分功能不可用 | kubevirt 定期检查,自动更新 |
| cdi(kubevirt) | - cdi-apiserver-server-cert - cdi-apiserver-signer - cdi-uploadproxy-server-cert - cdi-uploadproxy-singer - cdi-uploadserver-client-cert - cdi-uploadserver-client-signer - cdi-uploadserver-signer |
cdi 自签发 | cdi-apiserver:30 天,15 天时自动轮换 cdi-uploadproxy:30 天,15 天时自动轮换 cdi-uploadserver:10 年,8 年时自动轮换 提示:支持通过修改 cdi cr 中定义的 spec.certConfig.ca.duration 字段,修改 cdi-apiserver、cdi-uploadproxy 证书的时长。如下图所示: |
虚拟化部分功能不可用 | cdi 定期检查,自动更新 |
| olm | packageserver-service-cert | olm 自签发 | 760 天 | 不能显示 OperatorHub 页面 | olm controller 定期检查,自动更新 |
| kubevela | vela-core-root-cert vela-core-admission |
cert-manager 签发 | vela-core-root-cert:5 年 vela-core-admission:1 年 |
新应用功能不可用 | cert-manager 自动更新 |
DevOps
| 组件名称 | 证书名称 | 签发方式 | 签发时长 | 过期影响 | 到期更新方式 |
|---|---|---|---|---|---|
| devops-apiserver | devops-apiserver-cert | cert-manager 签发 | 10 年 | devops 功能不可用 | cert-manager 自动更新 |
| etcd 证书 | etcd-ca | 安装 Kubernetes 时生成 生成命令: kubectl create secret tls etcd-ca --cert=/etc/kubernetes/pki/etcd/ca.crt --key=/etc/kubernetes/pki/etcd/ca.key -n alauda-system |
10 年 | DevOps 功能不可用 | 不支持自动更新 |
| devops-next | etcd-peer | cert-manager 签发 | 10 年 | 流水线事件触发功能不可用 | cert-manager 自动更新 |
| devops-next | webhook-server-cert | cert-manager 签发 | 10 年 | 流水线事件触发功能不可用 | cert-manager 自动更新 |
| katanomi | katanomi-webhook-server-cert | cert-manager 签发 | 10 年 | 持续构建、持续部署等大部分 DevOps 功能不可用 | cert-manager 自动更新 |
Service Mesh
| 组件名称 | 证书名称 | 签发方式 | 签发时长 | 过期影响 | 到期更新方式 |
|---|---|---|---|---|---|
| asm-controller | asm-controller-webhook-serving-cert | cert-manager 签发 | 90 天 | webhook 功能不正常 | cert-manager 自动更新 |
| global-asm-controller | global-asm-webhook | cert-manager 签发 | 90 天 | 部分服务治理功能不可用 | cert-manager 自动更新 |
| istiod | cacerts | 代码自动生成 | 100 年 | istio 服务治理功能不可用 | 删除 cacerts,并重启 istiod。 |
数据服务
| 组件名称 | 证书名称 | 签发方式 | 签发时长 | 过期影响 | 到期更新方式 |
|---|---|---|---|---|---|
| rds | rds-operator-controller-manager-service-cert | olm 生成 | 2 年 | rds 功能不可用 | olm controller 定期检查,自动更新 |
| Redis | 实例名-tls |
cert-manager 签发 | 10 年 | redis 实例功能不可用 | cert-manager 自动更新 |
| RabbitMQ | 实例名-tls |
cert-manager 签发 | 10 年 | rabbitmq 无法使用加密端口,只能使用非加密端口 | cert-manager 自动更新 |
| Kafka | 实例名-cluster-ca-cert |
operator 签发 | 10 年 | kafka 功能不可用 | operator 定期检查,自动更新证书 |