操作场景
使用容器服务 TKE 控制台创建的 Ingress 配置的证书,会引用 SSL 证书 中托管的证书,若 Ingress 使用时间较长,证书存在过期的风险。证书过期会对线上业务造成巨大影响,因此需要在证书过期前进行续期,您可参考本文为 Ingress 证书续期。
操作步骤
查询证书到期时间
1. 登录 SSL 证书控制台,选择左侧导航栏中的我的证书。
2. 在证书列表项的“到期时间”中,查看即将过期的证书。
新增证书
在“证书管理”页面中,为旧证书续期生成新证书。您可根据自身情况选择购买证书、申请免费证书或上传证书中的任意一种方式来添加新证书。
查看引用旧证书的 Ingress
1. 登录 SSL 证书控制台,选择旧证书右侧的关联资源即可查看引用此证书的负载均衡器。
2. 点击负载均衡器的 ID 跳转到负载均衡详情页面。如果是 TKE Ingress 的负载均衡器,在标签栏会出现 
tke-clusterId 和 tke-lb-ingress-uuid 的标签,分别表示集群 ID 和 Ingress 资源的 UID。如下图所示:n3. 在负载均衡器的“基本信息”页面,点击标签行右侧的编辑按钮,即可进入“编辑标签”页面。如下图所示:n
4. 使用 Kubectl 可以查询集群 ID 对应集群的 Ingress,过滤 uid 为
tke-lb-ingress.uuid 对应值的 Ingress 资源。参考代码示例如下:$ kubectl get ingress --all-namespaces -o=custom-columns=NAMESPACE:.metadata.namespace,INGRESS:.metadata.name,UID:.metadata.uid | grep 1a******-****-****-a329-eec697a28b35api-prod gateway 1a******-****-****-a329-eec697a28b35
由查询结果可知,该集群中
api-prod/gateway 引用了此证书,因此需要更新此 Ingress。更新 Ingress
1. 在 容器服务控制台 找到 引用旧证书的 Ingress 中对应的 Ingress 资源,单击更新转发配置。如下图所示:n
2. 在“更新转发配置”页面,为新证书新建密钥。如下图所示:n
