Amazon EKS AMI节点证书信任机制变更分析

问题背景

在AWS EKS环境中，当使用Amazon EKS AMI v20240202及更高版本时，用户遇到了一个关于容器镜像拉取的问题。具体表现为：节点无法从私有HTTPS容器仓库拉取镜像，报错提示"x509: certificate signed by unknown authority"（证书由未知机构签发）。

技术细节分析

原有工作流程

在早期版本的Amazon EKS AMI中，用户通常通过以下流程为节点添加私有CA证书：

1. 通过userdata脚本将CA证书下载到/etc/pki/ca-trust/source/anchors目录
2. 执行update-ca-trust命令更新系统信任库
3. 系统会自动将证书信息同步到/etc/ssl/certs/ca-bundle.crt（实际是/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem的符号链接）

这种配置方式在v20240117及之前版本能够正常工作，kubelet可以识别这些新添加的CA证书并成功拉取私有仓库中的镜像。

变更点分析

从v20240202版本开始，AMIs中containerd的运行机制发生了变化。关键变化点包括：

1. containerd初始化时机调整：containerd服务可能在证书更新前就已经启动
2. 证书缓存机制：containerd在启动时会加载系统的CA证书并缓存，后续不会自动刷新

这意味着即使通过update-ca-trust更新了系统证书库，已经运行的containerd进程仍然使用旧的证书缓存，导致无法验证新添加的私有CA证书。

解决方案

要解决这个问题，需要在更新CA证书后显式重启containerd服务。完整的正确流程应该是：

1. 下载CA证书到/etc/pki/ca-trust/source/anchors
2. 执行update-ca-trust更新系统信任库
3. 执行systemctl restart containerd重启容器运行时

最佳实践建议

对于需要在EKS节点上使用私有CA证书的场景，建议采取以下最佳实践：

1. 在userdata脚本中添加containerd重启步骤：确保证书更新后运行时能够重新加载
2. 验证证书加载：通过openssl命令验证节点是否确实信任私有CA
3. 测试镜像拉取：使用ctr image pull命令手动测试镜像拉取功能
4. 考虑使用EC2 Image Builder：对于需要定制化CA证书的环境，可以考虑构建自定义AMI

总结

这一变更体现了AWS EKS AMI在安全性和性能优化方面的持续改进。作为用户，理解底层容器运行时的证书管理机制对于解决类似问题至关重要。通过遵循推荐的证书更新流程，可以确保在最新版本的EKS AMI上也能正常使用私有容器仓库。