Проверка срока действия сертификатов платформы
Проверка сертификатов, выпущенных в Secrets Manager
Вы можете проверить срок действия сертификатов платформы, выпущенных в Secrets Manager, с помощью утилиты nova-ctl. Для этого выполните следующую команду:
Примечание
В качестве аргументов --ssh-key и --ssh-user укажите информацию, использованную на этапе конфигурации ключевой пары SSH.
Пример
# nova-ctl certs check-expiration --ssh-key key.pem --ssh-user ec2-user
┏━━━━━━━━━━━━━━━━━━━━━━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┳━━━━━━━━━━━━━━━━━━━━━┳━━━━━━━━━━━━━━━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃ Node ┃ Certificate ┃ Expires ┃ Residual time ┃ Certificate authority ┃
┡━━━━━━━━━━━━━━━━━━━━━━╇━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╇━━━━━━━━━━━━━━━━━━━━━╇━━━━━━━━━━━━━━━╇━━━━━━━━━━━━━━━━━━━━━━━━━━━┩
│ node-master-hnf8g804 │ etcd/etcd-admin │ 2024-08-09 08:31:01 │ 365d │ etcd-ca-int │
│ node-master-hnf8g804 │ etcd/etcd-cilium │ 2024-08-09 08:32:00 │ 365d │ etcd-ca-int │
│ node-master-hnf8g804 │ etcd/etcd-client │ 2024-08-09 08:31:00 │ 365d │ etcd-ca-int │
│ node-master-hnf8g804 │ etcd/etcd-peer │ 2024-08-09 08:31:01 │ 365d │ etcd-ca-peer │
│ node-master-hnf8g804 │ etcd/healthcheck-client │ 2024-08-09 08:30:17 │ 365d │ etcd-ca-int │
│ node-master-hnf8g804 │ front-proxy-client │ 2024-08-09 08:31:44 │ 365d │ kubernetes-front-proxy-ca │
│ node-master-hnf8g804 │ kube-apiserver │ 2024-08-09 08:31:43 │ 365d │ kubernetes-ca │
│ node-master-hnf8g804 │ kube-apiserver-etcd-client │ 2024-08-09 08:31:44 │ 365d │ etcd-ca-int │
│ node-master-hnf8g804 │ kube-apiserver-kubelet-client │ 2024-08-09 08:31:43 │ 365d │ kubernetes-ca │
│ node-master-hnf8g804 │ kubelet │ 2024-08-09 08:31:45 │ 365d │ kubernetes-kubelet-ca │
│ node-master-hnf8g804 │ kubelet-client │ 2024-08-09 08:31:45 │ 365d │ kubernetes-ca │
│ node-master-hnf8g804 │ node-drainer │ 2024-08-09 08:31:45 │ 365d │ kubernetes-ca │
│ node-master-hnf8g804 │ system-vault-secrets-webhook │ 2024-08-09 08:30:22 │ 365d │ kubernetes-ca │
│ node-master-hnf8g804 │ users/admin │ 2024-08-09 08:31:44 │ 365d │ kubernetes-ca │
│ node-master-hnf8g804 │ users/controller-manager │ 2024-08-09 08:31:44 │ 365d │ kubernetes-ca │
│ node-master-hnf8g804 │ users/scheduler │ 2024-08-09 08:31:45 │ 365d │ kubernetes-ca │
├──────────────────────┼───────────────────────────────┼─────────────────────┼───────────────┼───────────────────────────┤
│ node-worker-2ufpusql │ etcd/etcd-cilium │ 2024-08-09 08:32:54 │ 365d │ etcd-ca-int │
│ node-worker-2ufpusql │ kubelet │ 2024-08-09 08:30:58 │ 365d │ kubernetes-kubelet-ca │
│ node-worker-2ufpusql │ kubelet-client │ 2024-08-09 08:30:58 │ 365d │ kubernetes-ca │
│ node-worker-2ufpusql │ node-drainer │ 2024-08-09 08:30:58 │ 365d │ kubernetes-ca │
├──────────────────────┼───────────────────────────────┼─────────────────────┼───────────────┼───────────────────────────┤
│ node-worker-zkot1gq2 │ etcd/etcd-cilium │ 2024-08-09 08:32:42 │ 365d │ etcd-ca-int │
│ node-worker-zkot1gq2 │ kubelet │ 2024-08-09 08:30:58 │ 365d │ kubernetes-kubelet-ca │
│ node-worker-zkot1gq2 │ kubelet-client │ 2024-08-09 08:30:58 │ 365d │ kubernetes-ca │
│ node-worker-zkot1gq2 │ node-drainer │ 2024-08-09 08:30:58 │ 365d │ kubernetes-ca │
└──────────────────────┴───────────────────────────────┴─────────────────────┴───────────────┴───────────────────────────┘
┏━━━━━━━━━━━━━━━━━━━━━━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━┳━━━━━━━━━━━━━━━━━━━━━┳━━━━━━━━━━━━━━━┓
┃ Node ┃ Certificate authority ┃ Expires ┃ Residual time ┃
┡━━━━━━━━━━━━━━━━━━━━━━╇━━━━━━━━━━━━━━━━━━━━━━━━━━━╇━━━━━━━━━━━━━━━━━━━━━╇━━━━━━━━━━━━━━━┩
│ node-master-hnf8g804 │ etcd-ca-int │ 2028-08-08 08:30:16 │ 1825d │
│ node-master-hnf8g804 │ etcd-ca-peer │ 2028-08-08 08:30:17 │ 1825d │
│ node-master-hnf8g804 │ kubernetes-ingress │ 2028-08-08 08:30:24 │ 1825d │
│ node-master-hnf8g804 │ kubernetes-front-proxy-ca │ 2028-08-08 08:30:20 │ 1825d │
│ node-master-hnf8g804 │ kubernetes-kubelet-ca │ 2028-08-08 08:30:20 │ 1825d │
│ node-master-hnf8g804 │ kubernetes-signer-ca │ 2028-08-08 08:30:21 │ 1825d │
│ node-master-hnf8g804 │ kubernetes-ca │ 2028-08-08 08:30:20 │ 1825d │
│ node-master-hnf8g804 │ nova-platform.io │ 2033-08-07 08:29:58 │ 3650d │
└──────────────────────┴───────────────────────────┴─────────────────────┴───────────────┘
Для удобства срок действия сертификатов платформы предоставляется в виде двух таблиц:
-
В первой таблице указаны серверные и клиентские сертификаты узлов платформы.
-
Во второй таблице указаны сертификаты корневых центров.
Проверка сертификатов, выпущенных в Cert-Manager
Для проверки срока действия сертификатов, выпущенных с помощью Cert-Manager, администатор кластера может воспользоваться утилитой kubectl и следующей командой:
Пример
$ kubectl get certificate -A -o custom-columns=NAME:.metadata.name,EXPIRES:.status.notAfter
NAME EXPIRES
nova-vpa-admission-controller 2024-08-09T08:36:39Z
default-ingress-certificate 2024-08-09T08:36:37Z
nova-console-serving-cert 2024-08-09T08:36:37Z
monitoring-plugin-cert 2024-08-09T08:36:37Z
Также получить расширенную информацию о сертификатах возможно с помощью команды:
Пример
$ kubectl get certificate -A -o wide
NAMESPACE NAME READY SECRET ISSUER STATUS AGE
kube-system nova-vpa-admission-controller True nova-vpa-admission-controller-cert nova-dynamic-internal-cluster-issuer Certificate is up to date and has not expired 21d
nova-cert-management default-ingress-certificate True default-ingress-certificate nova-oauth-internal-cluster-issuer Certificate is up to date and has not expired 21d
nova-console nova-console-serving-cert True nova-console-serving-cert nova-dynamic-internal-cluster-issuer Certificate is up to date and has not expired 21d
nova-monitoring monitoring-plugin-cert True monitoring-plugin-cert nova-dynamic-internal-cluster-issuer Certificate is up to date and has not expired 21d
Следующие шаги
При необходимости вы можете обновить сертификаты платформы Nova Container Platform.