Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Rotation des certificats

Le renouvellement des certificats Kubernetes peut entraîner une indisponibilité temporaire de votre cluster lors du redémarrage des composants. Pour les environnements de production, il est recommandé d’effectuer cette action pendant une fenêtre de maintenance.

Par défaut, les clusters Kubernetes nécessitent des certificats et les clusters Kubernetes lancés par Rancher génèrent automatiquement des certificats pour les composants Kubernetes. Le renouvellement de ces certificats est important avant leur expiration ainsi que si un certificat est compromis. Après le renouvellement des certificats, les composants Kubernetes sont automatiquement redémarrés.

Les certificats peuvent être renouvelés pour les services suivants :

  • admin

  • api-server

  • controller-manager

  • planificateur

  • rke2-controller

  • rke2-server

  • cloud-controller

  • etcd

  • auth-proxy

  • kubelet

  • kube-proxy

Pour les utilisateurs qui n’ont pas renouvelé leurs certificats de webhook, et qui ont expiré après un an, veuillez consulter cette page pour obtenir de l’aide.

Rotation des certificats

Les clusters Kubernetes lancés par Rancher ont la capacité de renouveler les certificats auto-générés via l’interface utilisateur.

  1. Dans le coin supérieur gauche, cliquez sur ☰ > Gestion des clusters.

  2. Sur la page Clusters, allez au cluster pour lequel vous souhaitez renouveler les certificats et cliquez sur ⋮ > Renouveler les certificats.

  3. Sélectionnez les certificats que vous souhaitez renouveler.

    • Renouveler tous les certificats de service (conserver la même CA)

    • Renouveler un service individuel et choisir l’un des services dans le menu déroulant

  4. Cliquez sur Enregistrer.

Résultats : Les certificats sélectionnés seront renouvelés et les services associés seront redémarrés pour commencer à utiliser le nouveau certificat.

Remarques supplémentaires

Dans RKE2, les nœuds etcd et du plan de contrôle sont considérés comme le même server concept. Ainsi, lors de la rotation des certificats des services spécifiques à l’un ou l’autre de ces composants, les certificats seront renouvelés sur les deux. Les certificats ne changeront que pour le service spécifié, mais vous verrez les nœuds des deux composants passer en état de mise à jour. Vous pouvez également voir des nœuds de travail uniquement passer en état de mise à jour. C’est pour redémarrer les nœuds de travail après un changement de certificat afin de s’assurer qu’ils obtiennent les derniers certificats clients.