Memperpanjang sertifikat cluster yang telah habis masa berlakunya secara manual

Dokumen ini menjelaskan cara memperpanjang sertifikat yang sudah habis masa berlakunya secara manual untuk GKE di Bare Metal. Sertifikat Transport Layer Security (TLS) digunakan oleh komponen bidang kontrol GKE di Bare Metal. Saat masa berlaku sertifikat ini berakhir, kemampuan Anda untuk mengelola beban kerja dan siklus proses cluster akan diblokir hingga sertifikat dapat diperpanjang. Untuk mengetahui informasi selengkapnya tentang dampak masa berlaku sertifikat yang telah habis, lihat Masa berlaku sertifikat.

Secara default, sertifikat TLS memiliki masa berlaku selama 1 tahun. GKE di Bare Metal akan otomatis memperpanjang sertifikat ini selama upgrade cluster dan saat Anda Merotasi certificate authority. Sebaiknya upgrade cluster secara rutin agar tetap aman, didukung, dan untuk mencegah masa berlaku sertifikat TLS berakhir.

Error yang disebabkan oleh masa berlaku sertifikat

Jika masa berlaku sertifikat TLS pada cluster Anda sudah berakhir, pengontrol inti tidak dapat membuat koneksi TLS dengan server Kubernetes API. Kurangnya konektivitas ini menyebabkan error berikut:

Unable to connect to the server: x509: Unable to connect to the server

Saat Anda menggunakan kubectl untuk mendapatkan node cluster, responsnya akan menyertakan error yang merujuk pada akhir masa berlaku sertifikat:
```
kubectl get nodes --kubeconfig KUBECONFIG_PATH
```
Ganti KUBECONFIG_PATH dengan jalur ke file kubeconfig untuk cluster Anda.

Saat sertifikat telah kedaluwarsa, responsnya akan seperti berikut:
```
Unable to connect to the server: x509: certificate has expired or is not yet valid
```

could not connect: x509 atau rejected connection

Sertifikat yang habis masa berlakunya akan memblokir akses ke cluster etcd karena pembanding tidak dapat berkomunikasi satu sama lain. Log etcd mungkin berisi entri error seperti ini:

W | rafthttp: health check for peer 6221a1d241bb2d0a could not connect: x509: certificate
has expired or is not yet valid
I | embed: rejected connection from "10.200.0.4:46108" (error "remote error: tls: bad
certificate", ServerName "")

Periksa waktu habis masa berlaku sertifikat

Bagian ini berisi petunjuk untuk memeriksa waktu habis masa berlaku sertifikat yang digunakan oleh cluster Anda. Lakukan langkah-langkah berikut pada setiap node bidang kontrol.

Untuk memeriksa waktu habis masa berlaku sertifikat:

sudo kubeadm certs check-expiration

Output perintah mencantumkan sertifikat yang dibuat oleh kubeadm untuk komponen bidang kontrol dan masa berlakunya:

CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
admin.conf                 Nov 28, 2021 19:09 UTC   53m                                     no
apiserver                  Nov 28, 2021 19:09 UTC   53m             ca                      no
apiserver-etcd-client      Nov 28, 2021 19:09 UTC   53m             etcd-ca                 no
apiserver-kubelet-client   Nov 28, 2021 19:09 UTC   53m             ca                      no
controller-manager.conf    Nov 28, 2021 19:09 UTC   53m                                     no
etcd-healthcheck-client    Nov 28, 2021 19:09 UTC   53m             etcd-ca                 no
etcd-peer                  Nov 28, 2021 19:09 UTC   53m             etcd-ca                 no
etcd-server                Nov 28, 2021 19:09 UTC   53m             etcd-ca                 no
front-proxy-client         Nov 28, 2021 19:09 UTC   53m             front-proxy-ca          no
scheduler.conf             Nov 28, 2021 19:09 UTC   53m                                     no

CERTIFICATE AUTHORITY   EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
ca                      Nov 26, 2031 18:06 UTC   9y              no
etcd-ca                 Nov 26, 2031 18:06 UTC   9y              no
front-proxy-ca          Nov 26, 2031 18:06 UTC   9y              no

Jalankan perintah berikut untuk memeriksa waktu habis masa berlaku untuk sertifikat kubelet:
```
sudo openssl x509 -in /var/lib/kubelet/pki/kubelet-client-current.pem -text | grep Validity -A2
sudo openssl x509 -in /var/lib/kubelet/pki/kubelet-server-current.pem -text | grep Validity -A2
```
Respons untuk setiap perintah akan terlihat seperti output berikut:
```
Validity
    Not Before: Sep 17 22:27:53 2021 GMT
    Not After : Sep 17 22:33:16 2022 GMT
```
Jika semua node bidang kontrol telah di-bootstrap secara bersamaan, waktu habis masa berlaku sertifikat akan berada dalam hitungan menit satu sama lain. Hubungan pengaturan waktu ini berlaku di semua node bidang kontrol. Anda dapat memverifikasi waktu habis masa berlaku dengan menjalankan perintah sebelumnya pada setiap node bidang kontrol.

Jalankan perintah berikut di workstation admin untuk memeriksa waktu habis masa berlaku sertifikat klien di file kubeconfig cluster:

grep 'client-certificate-data' KUBECONFIG_PATH | \
    awk '{print $2}' | base64 -d | openssl x509 -text | grep Validity -A2

Responsnya akan terlihat seperti contoh output ini:

Validity
    Not Before: Sep 17 22:27:53 2021 GMT
    Not After : Sep 17 22:33:16 2022 GMT

Jalankan perintah berikut untuk mencari tahu masa berlaku sertifikat untuk cluster kubeconfig di cluster admin:

kubectl get secret/CLUSTER_NAME-kubeconfig -n CLUSTER_NAMESPACE -o --kubeconfig=ADMIN_KUBECONFIG jsonpath='{.data.value}' | base64 --decode | grep client-certificate-data | awk '{print $2}' | base64 -d | openssl x509 -text | grep Validity -A2

Validity
    Not Before: Sep 17 22:27:53 2021 GMT
    Not After : Sep 17 22:33:16 2022 GMT

Sertifikat kubeconfig di cluster admin dan sertifikat di file kubeconfig di workstation admin adalah sama. Oleh karena itu, output untuk perintah ini dan perintah dari langkah sebelumnya harus cocok.

Perpanjang sertifikat secara manual

Untuk memperpanjang sertifikat TLS secara manual untuk cluster, gunakan petunjuk di bagian berikut.

Memperpanjang sertifikat di setiap node bidang kontrol

Lakukan langkah-langkah berikut pada setiap node bidang kontrol pada cluster yang terpengaruh:

Cadangkan folder /etc/kubernetes.

Jalankan perintah kubeadm berikut untuk memperpanjang semua sertifikat:

Perintah ini memperpanjang sertifikat menggunakan Certificate Authority (CA) yang ada di komputer.

sudo kubeadm certs renew all

Output perintahnya mirip dengan contoh berikut:

certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself renewed
certificate for serving the Kubernetes API renewed
certificate the apiserver uses to access etcd renewed
certificate for the API server to connect to kubelet renewed
certificate embedded in the kubeconfig file for the controller manager to use renewed
certificate for liveness probes to healthcheck etcd renewed
certificate for etcd nodes to communicate with each other renewed
certificate for serving etcd renewed
certificate for the front proxy client renewed
certificate embedded in the kubeconfig file for the scheduler manager to use renewed

Pastikan sertifikat memiliki waktu habis masa berlaku yang baru dengan menjalankan perintah berikut:
```
sudo kubeadm certs check-expiration
```
Mulai ulang container dengan perintah berikut:

Tidak semua komponen bidang kontrol mendukung pemuatan ulang sertifikat dinamis, sehingga langkah ini akan memulai ulang penampung berikut: kube-apiserver, kube-scheduler, kube-controller-manager, dan etcd untuk mengambil sertifikat yang diperpanjang.

Ulangi langkah-langkah berikut untuk masing-masing dari keempat penampung:
1. Temukan ID penampung untuk setiap penampung:
```
sudo crictl ps | grep CONTAINER_NAME
```
  Ganti CONTAINER_NAME dengan nama penampung berikut: kube-apiserver, kube-scheduler, kube-controller-manager, atau etcd (bukan etcd-defrag).
  
  Responsnya mirip dengan output berikut:
```
c331ade490cb6       28df10594cd92      26 hours ago       Running          kube-apiserver ...
```
  ID penampung adalah nilai di kolom pertama.
  
  Catatan: Jika masa berlaku sertifikat Anda sudah habis, sebaiknya lakukan langkah berikut untuk penampung kube-apiserver dan etcd terlebih dahulu. Kemudian, hentikan penampung kube-scheduler dan kube-controller-manager.
2. Hentikan setiap penampung:
```
sudo crictl stop CONTAINER_ID
```
  Ganti CONTAINER_ID dengan ID penampung dari langkah sebelumnya.
  
  Saat container yang dihentikan keluar, kubelet akan membuat container baru sebagai penggantinya dan menghapus container yang telah dihentikan. Jika Anda mengalami error, seperti context deadline exceeded (kode error DeadlineExceeded), jalankan kembali perintah tersebut.

Memastikan konektivitas telah pulih

Pada tahap ini, sertifikat kubeadm harus diperpanjang di semua node bidang kontrol. Jika Anda memperpanjang sertifikat yang sudah habis masa berlakunya, lakukan langkah berikut.

Untuk memverifikasi koneksi dengan server Kubernetes API, jalankan perintah kubectl berikut pada node bidang kontrol mana pun:
```
kubectl get nodes --kubeconfig=/etc/kubernetes/admin.conf
```

Responsnya akan menampilkan daftar node untuk cluster. Jika sertifikat Anda diperpanjang dengan benar, tidak ada error TLS atau sertifikat yang ditampilkan.

Mengganti file kubeconfig cluster

Untuk mengganti file kubeconfig bagi cluster Anda dengan file yang memiliki sertifikat yang diperpanjang, gunakan langkah-langkah berikut:

Untuk membuat file kubeconfig baru, jalankan perintah kubectl berikut di workstation admin:
```
kubectl --kubeconfig="ADMIN_KUBECONFIG" get secret/CLUSTER_NAME-kubeconfig  \
    -n "CLUSTER_NAMESPACE"  -o jsonpath='{.data.value}'  | base64 --decode > new_kubeconfig.conf
```
Ganti kode berikut:
- ADMIN_KUBECONFIG: jalur ke file kubeconfig cluster admin.
- CLUSTER_NAME: nama cluster yang sertifikatnya Anda perpanjang.
- CLUSTER_NAMESPACE: namespace cluster yang sertifikatnya Anda perpanjang.
File new_kubeconfig.conf berisi data sertifikat yang diperbarui.
Pastikan bahwa kubeconfig baru berfungsi dengan menjalankan perintah kubectl, menggunakan kredensial baru:
```
kubectl get nodes --kubeconfig new_kubeconfig.conf
```
Ganti konten file kubeconfig lama yang disimpan dalam direktori cluster di workstation admin dengan konten file kubeconfig baru new-kubeconfig.conf.

Secara default, jalur ke file konfigurasi cluster adalah bmctl-workspace/CLUSTER_NAME/CLUSTER_NAME-kubeconfig.

Verifikasi sertifikat kubelet dan mulai ulang `etcd-defrag`

Untuk menyelesaikan proses perpanjangan sertifikat cluster secara manual, lakukan langkah-langkah berikut untuk setiap node bidang kontrol:

Login ke node bidang kontrol dan verifikasi klien kubelet serta layanan masa berlaku sertifikat dengan menjalankan perintah berikut:

Sertifikat Kubelet dirotasi secara otomatis selama bidang kontrol dapat dijangkau. Periode perpanjangan otomatis sertifikat kubelet lebih singkat daripada periode habis masa berlaku sertifikat komponen bidang kontrol. Oleh karena itu, ada kemungkinan sertifikat kubelet telah diperpanjang sebelum
```
sudo openssl x509 -in /var/lib/kubelet/pki/kubelet-client-current.pem -text | grep Validity -A2
sudo openssl x509 -in /var/lib/kubelet/pki/kubelet-server-current.pem -text | grep Validity -A2
```
Output dari salah satu perintah tersebut akan terlihat seperti contoh berikut:
```
Validity
    Not Before: Nov 28 18:04:57 2022 GMT
    Not After : Nov 28 19:04:57 2023 GMT
```
Gunakan perintah berikut untuk memulai ulang container etcd-defrag:

Penampung etcd-defrag menggunakan sertifikat klien apiserver-etcd untuk berkomunikasi dengan etcd dan harus dimulai ulang untuk mengambil sertifikat yang diperbarui.
```
kubectl rollout restart daemonset etcd-defrag -n kube-system --kubeconfig KUBECONFIG_PATH
```

Anda telah menyelesaikan langkah-langkah manual untuk memperpanjang sertifikat cluster. Pastikan semua pod berjalan dengan benar dan tidak ada error TLS yang dilaporkan untuk penampung bidang kontrol.