Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Configuraciones de TLS

Cambiar la configuración TLS predeterminada depende del método de instalación elegido.

Ejecutando Rancher en un clúster de Kubernetes altamente disponible

Cuando instalas un clúster de Kubernetes gestionado por Rancher, TLS se descarga en el controlador de ingreso del clúster. Traefik es el controlador de ingreso predeterminado para K3s y se puede usar con RKE2, consulta Opciones de TLS para más información.

Ejecutando Rancher en un único contenedor de Docker

La configuración TLS predeterminada solo acepta TLS 1.2 y suites de cifrado TLS seguras. Puedes cambiar esto configurando las siguientes variables de entorno:

Parámetro Descripción Default Opciones disponibles

CATTLE_TLS_MIN_VERSION

Versión mínima de TLS

1.2

1.0, 1.1, 1.2, 1.3

CATTLE_TLS_CIPHERS

Suites de cifrado TLS permitidas

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305

Ver constantes TLS de Golang

Aplicación de TLS del Agente

La configuración agent-tls-mode controla cómo los agentes de Rancher (cluster-agent, fleet-agent y system-agent) validan el certificado de Rancher.

Cuando el valor se establece en strict, los agentes de Rancher solo confían en los certificados generados por la CA contenida en la configuración cacerts. Cuando el valor se establece en system-store, los agentes de Rancher confían en cualquier certificado generado por una CA pública contenida en el almacén de confianza del sistema operativo, incluidos aquellos firmados por autoridades como Let’s Encrypt. Esto puede ser un riesgo de seguridad, ya que cualquier certificado generado por estas autoridades externas, que están fuera del control del usuario, se considera válido en este estado.

Mientras que la opción strict habilita un nivel más alto de seguridad, requiere que Rancher tenga acceso a la CA que generó el certificado visible para los agentes. En el caso de ciertas configuraciones de certificados (notablemente, certificados externos), esto no es automático, y se necesita configuración adicional. Consulta la guía de instalación para más información sobre qué escenarios requieren configuración adicional.

En Rancher v2.9.0 y versiones posteriores, esta configuración tiene como valor predeterminado strict en nuevas instalaciones. Para los usuarios que instalan o actualizan desde una versión anterior de Rancher, se establece en system-store.

Preparándose para el Cambio de Configuración

Cada clúster contiene una condición en el campo de estado llamada AgentTlsStrictCheck. Si AgentTlsStrictCheck está establecido en "True", esto indica que los agentes del clúster están listos para operar en modo strict. Puedes inspeccionar manualmente cada clúster para ver si están listos utilizando la interfaz de usuario de Rancher o un comando kubectl como el siguiente:

## the below command skips ouputs $CLUSTER_NAME,$STATUS for all non-local clusters
kubectl get cluster.management.cattle.io -o jsonpath='{range .items[?(@.metadata.name!="local")]}{.metadata.name},{.status.conditions[?(@.type=="AgentTlsStrictCheck")].status}{"\n"}{end}'

Cambiando la Configuración

Puedes cambiar la configuración utilizando la interfaz de usuario de Rancher o la opción agentTLSMode opción del gráfico Helm.

Si especificas el valor a través del gráfico de Helm, solo puedes modificar el valor con Helm.

Dependiendo de tu configuración de certificados, puede ser necesaria una acción adicional, como subir la CA que firmó tus certificados. Revisa la guía de instalación antes de cambiar la configuración para ver si se aplican requisitos adicionales a tu configuración.

Para cambiar el valor de la configuración a través de la interfaz de usuario, navega a la página Configuración Global y encuentra la configuración agent-tls-mode cerca de la parte inferior de la página. Cuando cambias la configuración a través de la interfaz de usuario, Rancher primero verifica que todos los clústeres en sentido descendente tengan la condición AgentTlsStrictCheck establecida en "True" antes de permitir la solicitud. Esto previene interrupciones por un desajuste de certificado.

Anulando las Comprobaciones de Validación de Configuración

En algunos casos, puede que desees anular la comprobación que asegura que todos los agentes pueden aceptar la nueva configuración TLS:

Rancher verifica el estado de todos los clústeres en sentido descendente para prevenir interrupciones. Anular esta comprobación no se recomienda y debe hacerse con gran precaución.

  1. Como administrador, genera un kubeconfig para el clúster local. En los ejemplos a continuación, esto se guardó en el archivo local_kubeconfig.yaml.

  2. Recupera la configuración actual y guárdala en setting.yaml:

    kubectl get setting agent-tls-mode -o yaml --kubeconfig=local_kubeconfig.yaml > setting.yaml

  3. Actualiza el archivo setting.yaml, reemplazando value con strict. Añadir la anotación cattle.io/force: "true" anula la verificación de la condición del clúster y solo debe hacerse con mucho cuidado:

Incluir la anotación cattle.io/force con cualquier valor (incluyendo, por ejemplo, "false") anula la verificación de la condición del clúster.

 
apiVersion: management.cattle.io/v3
customized: false
default: strict
kind: Setting
metadata:
  name: agent-tls-mode
  annotations:
    cattle.io/force: "true"
source: ""
value: strict

  1. Aplica la nueva versión de la configuración:

    kubectl apply -f setting.yaml --kubeconfig=local_kubeconfig.yaml