Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Rotación de certificados

Rotar los certificados de Kubernetes puede resultar en que tu clúster esté temporalmente no disponible mientras se reinician los componentes. Para entornos de producción, se recomienda realizar esta acción durante una ventana de mantenimiento.

Por defecto, los clústeres de Kubernetes requieren certificados y los clústeres de Kubernetes lanzados por Rancher generan automáticamente certificados para los componentes de Kubernetes. Rotar estos certificados es importante antes de que expiren, así como si un certificado ha sido comprometido. Después de que los certificados sean rotados, los componentes de Kubernetes se reinician automáticamente.

Los certificados pueden ser rotados para los siguientes servicios:

  • admin

  • api-server

  • controller-manager

  • programador

  • rke2-controller

  • rke2-server

  • cloud-controller

  • etcd

  • proxy de autenticación

  • kubelet

  • kube-proxy

Para los usuarios que no rotaron sus certificados de webhook, y han expirado después de un año, por favor consulta esta página para obtener ayuda.

Rotación de certificados

Los clústeres de Kubernetes lanzados por Rancher tienen la capacidad de rotar los certificados generados automáticamente a través de la interfaz de usuario.

  1. En la esquina superior izquierda, haz clic en ☰ > Gestión de Clusters.

  2. En la página Clusters, ve al clúster para el que deseas rotar certificados y haz clic en ⋮ > Rotar Certificados.

  3. Selecciona qué certificados deseas rotar.

    • Rotar todos los certificados de Servicio (mantener la misma CA)

    • Rotar un servicio individual y elegir uno de los servicios del menú desplegable

  4. Haz clic en Guardar.

Resultados: Los certificados seleccionados serán rotados y los servicios relacionados se reiniciarán para comenzar a utilizar el nuevo certificado.

Notas adicionales

En RKE2, tanto los nodos etcd como los nodos del plano de control se tratan como el mismo server concepto. Por lo tanto, al rotar los certificados de servicios específicos de cualquiera de estos componentes, se resultará en que los certificados se roten en ambos. Los certificados solo cambiarán para el servicio especificado, pero verás que los nodos de ambos componentes entran en un estado de actualización. También puedes ver que los nodos exclusivos para trabajadores entran en un estado de actualización. Esto es para reiniciar los trabajadores después de un cambio de certificado para asegurar que obtengan los últimos certificados de cliente.