Assicurati la compatibilità dei certificati TLS prima di eseguire l'upgrade a GKE 1.29

Autopilot Standard

I cluster GKE che eseguono la versione 1.29 o successive non supportano i certificati TLS (Transport Layer Security) firmati con l'algoritmo SHA-1. Per evitare l'impatto sui tuoi cluster, devi sostituire i certificati incompatibili dei backend webhook e server API delle estensioni con certificati che utilizzano algoritmi di firma compatibili prima di eseguire l'upgrade dei cluster alla versione 1.29.

Impatto sui cluster di questa rimozione

GKE mette in pausa gli upgrade automatici quando rileva che un cluster utilizza certificati incompatibili con la versione 1.29. Dopo aver sostituito i certificati con certificati utilizzando algoritmi di firma compatibili o dopo che la versione 1.28 raggiunge la fine del ciclo di vita, GKE riprende gli upgrade automatici.

Se non sostituisci i certificati incompatibili prima di eseguire l'upgrade alla versione 1.29, potresti riscontrare i seguenti problemi con i cluster:

I backend webhook GKE che utilizzano certificati TLS firmati con l'algoritmo SHA-1 smetteranno di funzionare a causa di un errore di autenticazione. Le chiamate webhook non andranno a buon fine per il piano di controllo Kubernetes che comunica con i webhook con certificati incompatibili. A seconda della configurazione, specialmente se utilizzi webhook di ammissione, il mancato contatto di un webhook potrebbe bloccare la creazione di risorse sul cluster, ad esempio la creazione di pod, il che può essere molto fastidioso.
Le chiamate alle API gestite dai server API delle estensioni non andranno a buon fine.

Perché Kubernetes sta rimuovendo questa funzionalità

GKE utilizza Kubernetes open source, che utilizza il componente kube-apiserver per contattare i backend webhook e dei server API delle estensioni tramite TLS. Il componente kube-apiserver è scritto nel linguaggio di programmazione Go.

A partire dalla versione 1.18 di Go, Inizia a rifiutare i certificati TLS firmati con l'algoritmo SHA-1, ma ha lasciato un'opzione di debug x509sha1=1 per attivare il comportamento precedente e semplificare il processo di migrazione. GKE versione 1.24 è stata la prima versione creata utilizzando Go versione 1.18. Le build GKE di Kubernetes avevano abilitato questa opzione di debug fino alla versione 1.29. L'interruttore verrà rimosso in Go 1.24. GKE 1.29 crea Kubernetes con l'opzione disabilitata per prepararsi alla futura rimozione dell'opzione di debug da parte di Go. Dopo che GKE ha eseguito l'upgrade dei cluster alla versione 1.29, le chiamate dal piano di controllo del cluster ai server web webhook o ai server API delle estensioni nel cluster che forniscono un certificato TLS firmato con l'algoritmo SHA-1 non andranno a buon fine.

Identifica i cluster interessati

GKE monitora i cluster e utilizza il servizio del motore per suggerimenti per fornire indicazioni tramite insight e suggerimenti che identificano i cluster che dispongono di backend webhook o di server API delle estensioni utilizzando certificati TLS firmati con l'algoritmo SHA-1. In alternativa, puoi usare i log per identificare le chiamate ai backend interessati dal cluster.

Come ricevere approfondimenti e consigli

Per i cluster che eseguono la versione 1.24 o successive, segui le istruzioni per visualizzare insight e suggerimenti. Puoi ottenere insight utilizzando gcloud CLI o l'API Recommender, filtrando con il sottotipo DEPRECATION_K8S_SHA_1_CERTIFICATE.

Come ottenere i log

Per i cluster che eseguono la versione 1.24 o successive con Cloud Logging abilitato, GKE fornisce un log di Cloud Audit Logs per identificare le chiamate ai backend interessati dal cluster. Puoi utilizzare il seguente filtro per cercare i log:

logName =~ "projects/.*/logs/cloudaudit.googleapis.com%2Factivity"
resource.type = "k8s_cluster"
operation.producer = "k8s.io"
"insecure-sha1.invalid-cert.kubernetes.io"

Gli audit log includono il nome host del backend interessato. Per saperne di più su come interpretare i risultati, consulta la prossima sezione.

Interpretare le indicazioni contenute negli approfondimenti e nei consigli

Un suggerimento include il nome host del backend interessato e se si tratta di webhook o di un server API delle estensioni. I nomi host che fanno riferimento ai servizi nel cluster hanno il formato <service-name>.<namespace>.svc.

Se il certificato di backend interessato proviene da un server webhook, il nome host può essere un servizio nel cluster o un URL. Per scoprire di più, consulta Come contattare il webhook.

Se il certificato interessato proviene da un server API delle estensioni, il nome host è un servizio nel cluster. Per scoprire di più, consulta la pagina su come contattare l'apiserver dell'estensione.

Dopo aver identificato il backend interessato, segui le istruzioni per controllare il certificato di un servizio o controllare il certificato di un backend URL, a seconda del tipo.

Se i tuoi cluster non hanno chiamato server con certificati interessati negli ultimi 30 giorni, non verrà visualizzato alcun suggerimento.

Esempi di consigli

Consulta il seguente elenco di esempio di consigli:

RECOMMENDATION_ID                     PRIMARY_IMPACT_CATEGORY  RECOMMENDATION_STATE  LAST_REFRESH_TIME               PRIORITY  RECOMMENDER_SUBTYPE                DESCRIPTION
26bfcb32-6f2a-407c-874f-8cf55b3af912  RELIABILITY              ACTIVE                2024-02-15T01:09:04.454456273Z  P2        DEPRECATION_K8S_SHA_1_CERTIFICATE  Update the webhook and/or extension API servers that use certificates signed with SHA-1 algorithm to use certificates with compatible signing algorithms prior to upgrading the cluster to version 1.29. [Learn more](https://cloud.google.com/kubernetes-engine/docs/deprecations/sha1-1-29#mitigate_the_risk_of_upgrading_to_129).

Per ottenere i dettagli del cluster e del servizio, descrivi il suggerimento. L'output per un servizio denominato example-webhook nello spazio dei nomi default è simile al seguente:

associatedInsights:
- insight: projects/<CLUSTER_PROJECT_NUMBER>/locations/<CLUSTER_LOCATION>/insightTypes/google.container.DiagnosisInsight/insights/d76887a8-9eed-41a0-9459-d49dee43455e
content:
  overview:
    featureDeprecationRecommendation:
    - featureName: x.509_certificate_signature_algorithm
      featureReplacementValue: algorithm [compatible with GKE v1.29](https://cloud.google.com/kubernetes-engine/docs/deprecations/sha1-1-29#compatible-signing-algorithms)
      featureValue: SHA1
      stopServingVersion: '1.29'
      targetType: hostname
      targetValue: example-webhook.default.svc
    targetClusters:
    - clusterId: 3be916a554724c79a2314c8baee3fd57cf1c39df1ad34c3daf291db701b6d541
      clusterUri: //container.googleapis.com/projects/<CLUSTER_PROJECT_NUMBER>/locations/<CLUSTER_LOCATION>/clusters/<CLUSTER_NAME>
description: Update the webhook and/or extension API servers that use certificates
  signed with SHA-1 algorithm to use certificates with compatible signing algorithms
  prior to upgrading the cluster to version 1.29. [Learn more](https://cloud.google.com/kubernetes-engine/docs/deprecations/sha1-1-29#mitigate_the_risk_of_upgrading_to_129).
etag: '"ad50aac8278951d5"'
lastRefreshTime: '2024-02-15T01:09:04.454456273Z'
name: projects/<CLUSTER_PROJECT_NUMBER>/locations/<CLUSTER_LOCATION>/recommenders/google.container.DiagnosisRecommender/recommendations/26bfcb32-6f2a-407c-874f-8cf55b3af912
primaryImpact:
  category: RELIABILITY
  reliabilityProjection:
    risks:
    - SERVICE_DISRUPTION
priority: P2
recommenderSubtype: DEPRECATION_K8S_SHA_1_CERTIFICATE
stateInfo:
  state: ACTIVE
targetResources:
- //container.googleapis.com/projects/<CLUSTER_PROJECT_NUMBER>/locations/<CLUSTER_LOCATION>/clusters/<CLUSTER_NAME>

Ispeziona il certificato di un servizio

Sia i webhook che i server API delle estensioni possono essere supportati dai servizi.

Dopo aver identificato i servizi di backend pertinenti da ispezionare, utilizza le istruzioni seguenti per ispezionare il certificato di ciascun servizio e verificare quali certificati utilizzano l'algoritmo SHA-1 e devono essere aggiornati.

Trova il selettore e la porta di destinazione del servizio:
```
kubectl describe service --namespace=NAMESPACE SERVICE_NAME
```
Sostituisci NAMESPACE e SERVICE_NAME con i valori di targetValue.

L'output è simile al seguente:
```
Name: example-service
Namespace: default
Labels: run=nginx
Selector: run=nginx
Type: ClusterIP
IP: 172.21.xxx.xxx
Port: 443
TargetPort: 444
```
Questo output indica che example-service ha il selettore run=nginx e la porta di destinazione 444.

Nota: se TargetPort non è incluso, corrisponde al valore del campo Port.

Trova un pod corrispondente al selettore:

kubectl get pods --namespace=NAMESPACE --selector=run=nginx

L'output è simile al seguente:

NAME          READY   STATUS    RESTARTS   AGE
example-pod   1/1     Running   0          21m

Questo output indica che il pod corrispondente è example-pod.

Configura un port forwarding dal localhost kubectl al pod:

Nota: i comandi successivi utilizzano la porta 8888, ma puoi sceglierne una diversa, poiché questa viene scelta in modo arbitrario.
```
kubectl port-forward --namespace=NAMESPACE pods/example-pod 8888:SERVICE_TARGET_PORT &
```
Sostituisci SERVICE_TARGET_PORT con il valore TargetPort del servizio. Se TargetPort non è incluso, utilizza il valore Port.
Usa openssl per mostrare il certificato utilizzato dal servizio:
```
openssl s_client -connect localhost:8888 </dev/null | openssl x509 -noout -text
```
Questo output di esempio mostra un certificato valido firmato con l'algoritmo SHA-256:
```
Certificate:
    Data:
        ...
        Signature Algorithm: sha256WithRSAEncryption
...
    Signature Algorithm: sha256WithRSAEncryption
```
Questo output di esempio mostra un certificato non valido firmato con l'algoritmo SHA-1:
```
Certificate:
    Data:
        ...
        Signature Algorithm: sha1WithRSAEncryption
...
    Signature Algorithm: sha1WithRSAEncryption
```
Se l'output del certificato è simile, devi aggiornare il certificato per utilizzare un algoritmo di firma compatibile. Ad esempio, se utilizzi l'API certificate.k8s.io per gestire i certificati TLS nel cluster, puoi seguire le istruzioni per creare una richiesta di firma del certificato.

Pulisci il port forwarding

Per eseguire la pulizia del port forwarding in esecuzione in background, trova il processo e terminalo.

Esegui questo comando per elencare i processi in esecuzione:
```
jobs
```
Guarda l'output per ottenere l'ID del processo da terminare:
```
[1]+  Running                 kubectl port-forward pods/example-pod 8888:444 &
```
Questo output di esempio indica che l'ID processo è 1.
Termina il processo sostituendo PROCESS_ID:
```
kill %PROCESS_ID
```
Vedi l'output seguente:
```
[1]+  Terminated              kubectl port-forward pods/example 8888:444
```
Questo output di esempio mostra che il processo è stato arrestato.

Ispeziona il certificato del backend di un URL

Se il webhook utilizza un backend url, collegati direttamente al nome host specificato nell'URL. Ad esempio, se l'URL è https://example.com:123/foo/bar, usa il seguente comando openssl per mostrare il certificato utilizzato dal backend:

openssl s_client -connect example.com:123 </dev/null | openssl x509 -noout -text

Questo output di esempio mostra un certificato valido firmato con l'algoritmo SHA-256:

Certificate:
    Data:
        ...
        Signature Algorithm: sha256WithRSAEncryption
...
    Signature Algorithm: sha256WithRSAEncryption

Questo output di esempio mostra un certificato non valido firmato con l'algoritmo SHA-1:

Certificate:
    Data:
        ...
        Signature Algorithm: sha1WithRSAEncryption
...
    Signature Algorithm: sha1WithRSAEncryption

Se l'output del certificato è simile, devi aggiornare il certificato per utilizzare un algoritmo di firma compatibile. Ad esempio, se utilizzi l'API certificate.k8s.io per gestire i certificati TLS nel cluster, puoi seguire le istruzioni per creare una richiesta di firma del certificato.

Minimizzare il rischio di upgrade alla versione 1.29

Dopo aver identificato i cluster interessati e i relativi servizi di backend utilizzando certificati firmati con l'algoritmo SHA-1, devi aggiornare i servizi in modo da utilizzare i certificati con algoritmi di firma compatibili prima di eseguire l'upgrade dei cluster alla versione 1.29.

I cluster interessati vengono rilevati automaticamente da GKE e non verrà eseguito l'upgrade automatico alla versione 1.29 fino a quando i certificati incompatibili non vengono più utilizzati o la versione 1.28 non raggiunge la fine del ciclo di vita. Una volta che la versione 1.28 avrà raggiunto la fine del ciclo di vita, verrà eseguito l'upgrade automatico dei cluster alla versione 1.29.

Algoritmi di firma compatibili

La versione 1.29 di GKE è compatibile con gli algoritmi supportati nel pacchetto Go x509. Sono inclusi i seguenti algoritmi:

SHA256WithRSA
SHA384WithRSA
SHA512WithRSA
ECDSAWithSHA256
ECDSAWithSHA384
ECDSAWithSHA512
SHA256WithRSAPSS
SHA384WithRSAPSS
SHA512WithRSAPSS
PureEd25519

Per trovare gli algoritmi disponibili, visualizza il file di origine x509.go e cerca UnknownSignatureAlgorithm SignatureAlgorithm = iota. Gli algoritmi supportati dal pacchetto Go x509 sono elencati nel blocco const con questa riga. Per trovare algoritmi di firma non sicuri non supportati, cerca gli utilizzi di InsecureAlgorithmError nel file.

Risorse

Per ulteriori informazioni su questa modifica, consulta le seguenti risorse:

Note di rilascio di Go 1.18
Go 1.24 Rimozione dello switch di debug x509sha1
Algoritmi supportati Go x509