为什么 kubeadm 证书有效期只有 1 年?

2022-08-26 22:13:11 +08:00
 zhoudaiyu
如果想改长有效期的话,需要改 kubeadm 代码并重新编译,很麻烦。为啥不像 openshift 或者其他国内一些部署工具一样,把证书有效期设置长一些,或者暴露出参数可以修改呢?是有安全方面的考虑还是为什么?
2648 次点击
所在节点    Kubernetes
9 条回复
hutoer
2022-08-26 22:15:01 +08:00
貌似是鼓励经常升级
Judoon
2022-08-26 23:03:56 +08:00
因为版本的维护和升级一年一次是必须的
yaoyao1128
2022-08-26 23:13:24 +08:00
2020 年 9 月 1 日起,ssl/tls 证书标准不超过 397 天
https://chromium.googlesource.com/chromium/src/+/ae4d6809912f8171b23f6aa43c6a4e8e627de784
https://blog.mozilla.org/security/2020/07/09/reducing-tls-certificate-lifespans-to-398-days/
https://support.apple.com/en-us/HT211025
zhoudaiyu
2022-08-26 23:30:05 +08:00
@hutoer 跑在生产的东西,这也不是谁敢随便动的呀
@Judoon

@yaoyao1128 这就是个自签证书,无所谓吧
eason1874
2022-08-27 02:46:13 +08:00
有提供 renew 命令

不过我建议你们直接不验证证书,忽略警告就完事,长达一年不维护的系统能有多重要呢,系统安全都得不到管理,网络传输安全那更不用管了
sologgfun
2022-08-27 09:48:27 +08:00
这个真的坑 业务正常在跑 没事谁更新底层 k8s
idblife
2022-08-27 10:43:40 +08:00
@sologgfun
我每年升级两次,哈哈
ch2
2022-08-27 12:09:30 +08:00
这是什么大坑,快告诉我一劳永逸的办法
leeg810312
2022-08-27 12:59:19 +08:00
现在大公司的安全策略也不是铁板一块,不是以前那种可以用就永不升级,我在好几个世界 500 强的项目中就收到每月运维邮件,通知停机升级或打补丁,哪些系统哪个时段停服务,一年升级 1-2 次也没什么大不了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/875706

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX