Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Zertifikatsrotation

Das Rotieren von Kubernetes-Zertifikaten kann dazu führen, dass Ihr Cluster vorübergehend nicht verfügbar ist, während die Komponenten neu gestartet werden. Für Produktionsumgebungen wird empfohlen, diese Aktion während eines Wartungsfensters durchzuführen.

Standardmäßig erfordern Kubernetes-Cluster Zertifikate, und von Rancher gestartete Kubernetes-Cluster generieren automatisch Zertifikate für die Kubernetes-Komponenten. Das Rotieren dieser Zertifikate ist wichtig, bevor die Zertifikate ablaufen, sowie wenn ein Zertifikat kompromittiert ist. Nachdem die Zertifikate rotiert wurden, werden die Kubernetes-Komponenten automatisch neu gestartet.

Zertifikate können für die folgenden Dienste rotiert werden:

  • admin

  • api-server

  • controller-manager

  • Scheduler

  • rke2-controller

  • rke2-server

  • cloud-controller

  • etcd

  • auth-proxy

  • kubelet

  • kube-proxy

Für Benutzer, die ihre Webhook-Zertifikate nicht rotiert haben und deren Zertifikate nach einem Jahr abgelaufen sind, finden Sie auf dieser Seite Hilfe.

Zertifikatsrotation

Von Rancher gestartete Kubernetes-Cluster haben die Möglichkeit, die automatisch generierten Zertifikate über die Benutzeroberfläche zu rotieren.

  1. Klicken Sie in der oberen linken Ecke auf ☰ > Clusterverwaltung.

  2. Gehen Sie auf die Cluster-Seite, wählen Sie den Cluster aus, für den Sie die Zertifikate rotieren möchten, und klicken Sie auf ⋮ > Zertifikate rotieren.

  3. Wählen Sie die Zertifikate aus, die Sie rotieren möchten.

    • Rotieren Sie alle Service-Zertifikate (behalten Sie die gleiche CA).

    • Rotieren Sie einen einzelnen Dienst und wählen Sie einen der Dienste aus dem Dropdown-Menü aus.

  4. Klicken Sie auf Speichern.

Ergebnisse: Die ausgewählten Zertifikate werden rotiert und die zugehörigen Dienste werden neu gestartet, um das neue Zertifikat zu verwenden.

Weitere Hinweise

In RKE2 werden sowohl etcd- als auch Steuerungsebene-Knoten als dasselbe server Konzept behandelt. Daher führt das Rotieren von Zertifikaten von Diensten, die spezifisch für eine dieser Komponenten sind, dazu, dass die Zertifikate auf beiden rotiert werden. Die Zertifikate ändern sich nur für den angegebenen Dienst, aber Sie werden sehen, dass die Knoten beider Komponenten in einen Aktualisierungszustand übergehen. Sie können auch sehen, dass nur Worker-Knoten in einen Aktualisierungszustand übergehen. Dies dient dazu, die Worker-Knoten nach einer Zertifikatsänderung neu zu starten, um sicherzustellen, dass sie die neuesten Client-Zertifikate erhalten.