Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

TLS-Geheimnisse hinzufügen

Kubernetes erstellt alle Objekte und Dienste für Rancher, wird jedoch erst verfügbar, wenn wir das tls-rancher-ingress Geheimnis im cattle-system Namespace mit dem Zertifikat und dem Schlüssel befüllen.

Kombinieren Sie das Serverzertifikat und anschließend alle erforderlichen Zwischenzertifikate in einer Datei namens tls.crt. Kopieren Sie Ihren Zertifikatsschlüssel in eine Datei namens tls.key.

Zum Beispiel stellt acme.sh das Serverzertifikat und die CA-Ketten in der Datei fullchain.cer bereit. Dieses fullchain.cer sollte in tls.crt umbenannt werden und die Zertifikatsschlüsseldatei sollte tls.key heißen.

Verwenden Sie kubectl mit dem Geheimnistyp tls, um die Geheimnisse zu erstellen.

kubectl -n cattle-system create secret tls tls-rancher-ingress \
  --cert=tls.crt \
  --key=tls.key

Wenn Sie das Zertifikat ersetzen möchten, können Sie das tls-rancher-ingress Geheimnis mit kubectl -n cattle-system delete secret tls-rancher-ingress löschen und ein neues mit dem oben gezeigten Befehl hinzufügen. Wenn Sie ein von einer privaten CA signiertes Zertifikat verwenden, ist das Ersetzen des Zertifikats nur möglich, wenn das neue Zertifikat von derselben CA signiert ist wie das derzeit verwendete Zertifikat.

Verwendung eines von einer privaten CA signierten Zertifikats

Wenn Sie eine private CA verwenden, benötigt Rancher eine Kopie des Root-Zertifikats oder der Zertifikatkette der privaten CA, die der Rancher-Agent zur Validierung der Verbindung zum Server verwendet.

Erstellen Sie eine Datei namens cacerts.pem, die nur das Root-CA-Zertifikat oder die Zertifikatkette Ihrer privaten CA enthält, und verwenden Sie kubectl, um das tls-ca Geheimnis im cattle-system Namespace zu erstellen.

kubectl -n cattle-system create secret generic tls-ca \
  --from-file=cacerts.pem

Das konfigurierte tls-ca Geheimnis wird abgerufen, wenn Rancher startet. Bei einer laufenden Rancher-Installation tritt die aktualisierte CA in Kraft, nachdem neue Rancher-Pods gestartet wurden.

Die Zertifikatkette muss ordnungsgemäß formatiert sein, da sonst Komponenten möglicherweise keine Ressourcen vom Rancher-Server herunterladen können.

Zusätzliche CA-Zertifikate hinzufügen

Wenn Sie einen Node-Treiber verwenden, der API-Anfragen mit einer anderen CA als der für Rancher konfigurierten stellt, können Sie zusätzliche Root-Zertifikate und Zertifikatketten hinzufügen.

Erstellen Sie für jedes erforderliche Zertifikat eine eindeutige Datei, die mit .pem endet, und verwenden Sie kubectl, um das tls-additional Geheimnis im cattle-system Namespace zu erstellen.

kubectl -n cattle-system create secret generic tls-additional \
  --from-file=cacerts1.pem=cacerts1.pem --from-file=cacerts2.pem=cacerts2.pem

Rancher bindet diese CA-Root-Zertifikate und Zertifikatketten während der Bereitstellung in den Node-Treiber-Pod ein.

Aktualisierung eines privaten CA-Zertifikats

Befolgen Sie die Schritte auf dieser Seite, um das SSL-Zertifikat des Ingress in einer Rancher hohe Verfügbarkeit Kubernetes-Installation zu aktualisieren oder um vom standardmäßigen selbstsignierten Zertifikat zu einem benutzerdefinierten Zertifikat zu wechseln.