操作场景
使用容器服务 TKE 控制台创建的 Ingress 配置的证书,会引用 SSL 证书 中托管的证书,若 Ingress 使用时间较长,证书存在过期的风险。证书过期会对线上业务造成巨大影响,因此需要在证书过期前进行续期,您可参考本文为 Ingress 证书续期。
操作步骤
查询证书到期时间
1. 登录 SSL 证书控制台,选择左侧导航栏中的我的证书。
2. 在证书列表项的到期时间中,查看即将过期的证书。
新增证书
查看引用旧证书的 Ingress
1. 登录 SSL 证书控制台,在我的证书页面,找到旧证书条目,单击证书 ID,进入证书详情页。
2. 在证书详情页,点击关联云资源页签,选择负载均衡 CLB,找到关联的 CLB 实例。单击右侧的前往查看,跳转到负载均衡详情页面。
3. 在负载均衡详情页面查看 CLB 实例的基本信息。如果是 TKE Ingress 的负载均衡器,在标签栏会出现
tke-clusterId 和 tke-lb-ingress-uuid 的标签,分别表示集群 ID 和 Ingress 资源的 UID。如下图所示:
4. 在负载均衡器的基本信息页面,单击标签行右侧的编辑按钮,即可进入编辑标签页面。如下图所示:
5. 使用 kubectl 可以查询集群 ID 对应集群的 Ingress,过滤 UID 为
tke-lb-ingress.uuid 对应值的 Ingress 资源。参考代码示例如下:$ kubectl get ingress --all-namespaces -o=custom-columns=NAMESPACE:.metadata.namespace,INGRESS:.metadata.name,UID:.metadata.uid | grep 1a******-****-****-a329-eec697a28b35api-prod gateway 1a******-****-****-a329-eec697a28b35
由查询结果可知,该集群中
api-prod/gateway 引用了此证书,因此需要更新此 Ingress。更新 Ingress
1. 在 容器服务控制台 找到 引用旧证书的 Ingress 中对应的 Ingress 资源,单击更新转发配置。如下图所示:
2. 在更新转发配置页面,为新证书新建密钥。如下图所示:
3. 在新建密钥页面,选择新添加的证书,然后单击创建Secret。如下图所示:
4. 返回至更新转发配置页面,修改 Ingress 的 TLS 配置,添加新创建的证书 Secret。如下图所示:
5. 单击更新转发配置即可完成 Ingress 证书的续期。
