Rotation abgelaufener Webhook-Zertifikate

Bei Rancher-Versionen, in denen rancher-webhook installiert ist, haben bestimmte Versionen Zertifikate erstellt, die nach einem Jahr ablaufen. Es wird notwendig sein, Ihr Webhook-Zertifikat auszutauschen, wenn das Zertifikat nicht erneuert wurde.

In Rancher v2.6.3 und höher werden die Rancher-Webhook-Bereitstellungen ihr TLS-Zertifikat automatisch erneuern, wenn es innerhalb von 30 oder weniger Tagen vor dem Ablaufdatum liegt. Wenn Sie v2.6.2 oder älter verwenden, gibt es zwei Methoden, um dieses Problem zu umgehen:

1. Benutzer mit Clusterzugriff führen die folgenden Befehle aus:

kubectl delete secret -n cattle-system cattle-webhook-tls
kubectl delete mutatingwebhookconfigurations.admissionregistration.k8s.io --ignore-not-found=true rancher.cattle.io
kubectl delete pod -n cattle-system -l app=rancher-webhook

2. Benutzer ohne Clusterzugriff über kubectl:

  1. Löschen Sie das cattle-webhook-tls Secret im cattle-system Namespace im lokalen Cluster.

  2. Löschen Sie den rancher.cattle.io mutierenden Webhook.

  3. Löschen Sie das rancher-webhook Pod im cattle-system Namespace im lokalen Cluster.

Das Problem mit dem Ablauf des Webhook-Zertifikats ist nicht spezifisch für cattle-webhook-tls, wie in den Beispielen aufgeführt. Sie werden Ihr abgelaufenes Zertifikat-Secret entsprechend ausfüllen.