Questa pagina è stata tradotta dall'API Cloud Translation.

Rinnovare manualmente i certificati dei cluster scaduti

Questo documento descrive come rinnovare manualmente i certificati scaduti per Google Distributed Cloud. I certificati TLS (Transport Layer Security) vengono utilizzati dai componenti del control plane di Google Distributed Cloud. Quando questi certificati scadono, la tua capacità di gestire i carichi di lavoro e i cicli di vita dei cluster viene bloccata finché non possono essere rinnovati. Per saperne di più sull'impatto dei certificati scaduti, vedi Scadenza del certificato.

Questa pagina è rivolta ad amministratori, architetti e operatori che gestiscono il ciclo di vita dell'infrastruttura tecnologica sottostante e rispondono agli avvisi e alle pagine quando gli obiettivi del livello di servizio (SLO) non vengono raggiunti o le applicazioni non funzionano. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei contenuti, consulta Ruoli e attività comuni degli utenti di GKE Enterprise. Google Cloud

Per impostazione predefinita, i certificati TLS, inclusi i certificati etcd, hanno un periodo di scadenza di un anno. Google Distributed Cloud rinnova questi certificati durante gli upgrade del cluster e quando ruoti le autorità di certificazione. Questi certificati non vengono aggiornati periodicamente in modo autonomo. Ti consigliamo di eseguire regolarmente l'upgrade dei cluster per mantenerli sicuri e supportati e per evitare la scadenza dei certificati TLS.

Errori causati dalla scadenza del certificato

Se i certificati TLS sul cluster scadono, i controller principali non possono stabilire connessioni TLS con il server API Kubernetes. Questa mancanza di connettività causa i seguenti errori:

Impossibile connettersi al server: x509

Quando utilizzi kubectl per ottenere i nodi del cluster, la risposta include un errore che indica che i certificati sono scaduti, simile all'output dell'esempio seguente:
```
Unable to connect to the server: x509: certificate has expired or is not yet valid
```

Impossibile connettersi: x509 o Connessione rifiutata

I certificati scaduti bloccano l'accesso al cluster etcd, in quanto i peer non possono comunicare tra loro. I log etcd potrebbero contenere voci di errore come le seguenti:

W | rafthttp: health check for peer 6221a1d241bb2d0a could not connect: x509: certificate
has expired or is not yet valid
I | embed: rejected connection from "10.200.0.4:46108" (error "remote error: tls: bad
certificate", ServerName "")

Controllare le scadenze dei certificati

Per controllare le date di scadenza dei certificati, esegui i seguenti passaggi su ogni nodo del control plane:

Accedi a una delle macchine nodo del control plane ed esegui il seguente comando:

sudo kubeadm certs check-expiration

L'output del comando elenca i certificati creati da kubeadm per i componenti del control plane e la relativa scadenza, come mostrato nell'esempio di output seguente:

CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
admin.conf                 Nov 28, 2021 19:09 UTC   53m                                     no
apiserver                  Nov 28, 2021 19:09 UTC   53m             ca                      no
apiserver-etcd-client      Nov 28, 2021 19:09 UTC   53m             etcd-ca                 no
apiserver-kubelet-client   Nov 28, 2021 19:09 UTC   53m             ca                      no
controller-manager.conf    Nov 28, 2021 19:09 UTC   53m                                     no
etcd-healthcheck-client    Nov 28, 2021 19:09 UTC   53m             etcd-ca                 no
etcd-peer                  Nov 28, 2021 19:09 UTC   53m             etcd-ca                 no
etcd-server                Nov 28, 2021 19:09 UTC   53m             etcd-ca                 no
front-proxy-client         Nov 28, 2021 19:09 UTC   53m             front-proxy-ca          no
scheduler.conf             Nov 28, 2021 19:09 UTC   53m                                     no

CERTIFICATE AUTHORITY   EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
ca                      Nov 26, 2031 18:06 UTC   9y              no
etcd-ca                 Nov 26, 2031 18:06 UTC   9y              no
front-proxy-ca          Nov 26, 2031 18:06 UTC   9y              no

Esegui questo comando per controllare le date di scadenza dei certificati kubelet:
```
sudo openssl x509 -in /var/lib/kubelet/pki/kubelet-client-current.pem -text | grep Validity -A2
sudo openssl x509 -in /var/lib/kubelet/pki/kubelet-server-current.pem -text | grep Validity -A2
```
La risposta per ogni comando è simile al seguente output di esempio:
```
Validity
    Not Before: Sep 17 22:27:53 2021 GMT
    Not After : Sep 17 22:33:16 2022 GMT
```
Se tutti i nodi del control plane sono stati avviati contemporaneamente, le scadenze dei certificati sono distanti tra loro di pochi minuti. Questa relazione temporale si applica a tutti i nodi del control plane. Puoi verificare le ore di scadenza eseguendo i comandi precedenti su ciascun nodo del control plane.

Esegui questo comando sulla workstation di amministrazione per controllare la data di scadenza del certificato client nel file kubeconfig del cluster:

grep 'client-certificate-data' KUBECONFIG_PATH | \
    awk '{print $2}' | base64 -d | openssl x509 -text | grep Validity -A2

La risposta è simile al seguente output di esempio:

Validity
    Not Before: Sep 17 22:27:53 2021 GMT
    Not After : Sep 17 22:33:16 2022 GMT

Esegui questo comando per cercare la scadenza del certificato per il kubeconfig del cluster nel cluster di amministrazione:

kubectl get secret/CLUSTER_NAME-kubeconfig \
  -n CLUSTER_NAMESPACE \
  --kubeconfig=ADMIN_KUBECONFIG \
  -o jsonpath='{.data.value}' | base64 --decode | grep client-certificate-data | awk '{print $2}' | base64 -d | openssl x509 -text | grep Validity -A2

Sostituisci quanto segue:

* ADMIN_KUBECONFIG: the
  path to the admin cluster kubeconfig file.

* CLUSTER_NAME:
  the name of the cluster that you're renewing certificates for.

* CLUSTER_NAMESPACE:
  the namespace of the cluster that you're renewing certificates for.

La risposta è simile al seguente output di esempio:

Validity
    Not Before: Sep 17 22:27:53 2021 GMT
    Not After : Sep 17 22:33:16 2022 GMT

Il certificato kubeconfig nel cluster di amministrazione e il certificato nel file kubeconfig sulla workstation di amministrazione sono gli stessi. Pertanto, l'output di questo comando e di quello del passaggio precedente devono corrispondere.

Rinnovare manualmente i certificati

Per rinnovare manualmente i certificati TLS per un cluster, segui le istruzioni riportate nelle sezioni seguenti.

Rinnova i certificati su ogni nodo del control plane

Esegui i seguenti passaggi su ciascun nodo del control plane del cluster interessato:

Esegui il backup della cartella /etc/kubernetes.

Esegui questo comando kubeadm per rinnovare tutti i certificati. Il comando rinnova i certificati utilizzando le autorità di certificazione (CA) esistenti sulla macchina:

sudo kubeadm certs renew all

L'output comando è simile al seguente esempio:

certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself renewed
certificate for serving the Kubernetes API renewed
certificate the apiserver uses to access etcd renewed
certificate for the API server to connect to kubelet renewed
certificate embedded in the kubeconfig file for the controller manager to use renewed
certificate for liveness probes to healthcheck etcd renewed
certificate for etcd nodes to communicate with each other renewed
certificate for serving etcd renewed
certificate for the front proxy client renewed
certificate embedded in the kubeconfig file for the scheduler manager to use renewed

Verifica che i certificati abbiano una nuova data di scadenza eseguendo questo comando:
```
sudo kubeadm certs check-expiration
```
Non tutti i componenti del control plane supportano il ricaricamento dinamico dei certificati. Per recuperare i certificati rinnovati, i seguenti passaggi riavviano i seguenti container: kube-apiserver, kube-scheduler, kube-controller-manager e etcd.

Ripeti i seguenti passaggi per ciascuno dei quattro contenitori:
1. Trova l'ID container per ogni container:
```
sudo crictl ps | grep CONTAINER_NAME
```
  Sostituisci CONTAINER_NAME con il nome dei seguenti container: kube-apiserver, kube-scheduler, kube-controller-manager o etcd (non etcd-defrag).
  
  La risposta è simile al seguente output:
```
c331ade490cb6       28df10594cd92      26 hours ago       Running          kube-apiserver ...
```
  L'ID contenitore è il valore nella prima colonna.
  
  Nota: se i certificati sono scaduti, ti consigliamo di eseguire il seguente passaggio prima per i container kube-apiserver e etcd. Poi, arresta i container kube-scheduler e kube-controller-manager.
2. Arresta ogni container:
```
sudo crictl stop CONTAINER_ID
```
  Sostituisci CONTAINER_ID con l'ID contenitore del passaggio precedente.
  
  Quando il container arrestato esce, kubelet crea un nuovo container al suo posto ed elimina quello arrestato. Se riscontri un errore, ad esempio context deadline exceeded (codice di errore DeadlineExceeded), esegui nuovamente il comando.

Verificare che la connettività sia stata ripristinata

Ora i certificati kubeadm devono essere rinnovati su tutti i nodi del control plane. Se stai rinnovando i certificati scaduti, esegui il seguente passaggio:

Per verificare la connessione con il server API Kubernetes, esegui questo comando kubectl su qualsiasi nodo del control plane:
```
kubectl get nodes --kubeconfig=/etc/kubernetes/admin.conf
```

La risposta deve restituire l'elenco dei nodi per il cluster. Se i certificati vengono rinnovati correttamente, non vengono restituiti errori TLS o relativi ai certificati.

Aggiorna il secret kubeconfig nel cluster

Aggiorna il secret kubeconfig dai contenuti del file admin.conf.

Per aggiornare il nuovo kubeconfig al secret, esegui questi comandi sul nodo del control plane:

CLUSTER_KUBECONFIG_BASE64=$(base64 /etc/kubernetes/admin.conf -w 0)

kubectl get secret/CLUSTER_NAME-kubeconfig \
  -n CLUSTER_NAMESPACE \
  –kubeconfig /etc/kubernetes/admin.conf -o json | jq \
  --arg conf "${CLUSTER_KUBECONFIG_BASE64}" '.data."value" |= $conf' | kubectl apply -f -

Sostituisci il file kubeconfig del cluster

Per sostituire il file kubeconfig del cluster con uno contenente i certificati rinnovati, segui questi passaggi:

Per creare il nuovo file kubeconfig, esegui questo comando kubectl sulla workstation di amministrazione:
```
kubectl --kubeconfig="ADMIN_KUBECONFIG" get secret/CLUSTER_NAME-kubeconfig  \
    -n "CLUSTER_NAMESPACE" -o jsonpath='{.data.value}'  | base64 --decode > new_kubeconfig.conf
```
Sostituisci quanto segue:
- ADMIN_KUBECONFIG: il percorso del file kubeconfig del cluster di amministrazione.
- CLUSTER_NAME: il nome del cluster per cui stai rinnovando i certificati.
- CLUSTER_NAMESPACE: lo spazio dei nomi del cluster per cui stai rinnovando i certificati.
Il file new_kubeconfig.conf contiene i dati aggiornati del certificato.
Verifica che il nuovo kubeconfig funzioni eseguendo qualsiasi comando kubectl utilizzando le nuove credenziali:
```
kubectl get nodes --kubeconfig new_kubeconfig.conf
```
Sostituisci i contenuti del vecchio file kubeconfig salvato nella directory del cluster sulla workstation amministrativa con i contenuti del nuovo file kubeconfig new-kubeconfig.conf.

Per impostazione predefinita, il percorso del file di configurazione del cluster è bmctl-workspace/CLUSTER_NAME/CLUSTER_NAME-kubeconfig.

Verifica i certificati kubelet e riavvia `etcd-defrag`

Per completare la procedura di rinnovo manuale dei certificati del cluster, segui questi passaggi per ogni nodo del control plane:

Accedi al nodo del control plane e verifica la data di scadenza del certificato client e di servizio di kubelet eseguendo questi comandi:

I certificati Kubelet vengono ruotati automaticamente finché il control plane è raggiungibile. Il periodo per il rinnovo automatico dei certificati kubelet è più breve del periodo di scadenza dei certificati dei componenti del control plane. Pertanto, è probabile che i certificati kubelet siano già stati rinnovati:
```
sudo openssl x509 -in /var/lib/kubelet/pki/kubelet-client-current.pem -text | grep Validity -A2
sudo openssl x509 -in /var/lib/kubelet/pki/kubelet-server-current.pem -text | grep Validity -A2
```
L'output di entrambi i comandi è simile al seguente esempio:
```
Validity
    Not Before: Nov 28 18:04:57 2022 GMT
    Not After : Nov 28 19:04:57 2023 GMT
```
Utilizza il seguente comando per riavviare il container etcd-defrag:

Il container etcd-defrag utilizza il certificato client apiserver-etcd per comunicare con etcd e deve essere riavviato per acquisire i certificati aggiornati.
```
kubectl rollout restart daemonset etcd-defrag -n kube-system --kubeconfig KUBECONFIG_PATH
```

Dopo aver completato questi passaggi manuali per rinnovare i certificati del cluster, verifica che tutti i pod funzionino correttamente e che non vengano segnalati errori TLS per i container del piano di controllo.

Passaggi successivi

Se hai bisogno di ulteriore assistenza, contatta l'assistenza clienti Google Cloud. Puoi anche consultare la sezione Richiedere assistenza per ulteriori informazioni sulle risorse di assistenza, tra cui:

Requisiti per l'apertura di una richiesta di assistenza.
Strumenti per aiutarti a risolvere i problemi, ad esempio la configurazione dell'ambiente, i log e le metriche.
Componenti supportati.