Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Ajout de secrets TLS

Kubernetes créera tous les objets et services pour Rancher, mais il ne sera pas disponible tant que nous n’aurons pas rempli le secret tls-rancher-ingress dans l’espace de noms cattle-system avec le certificat et la clé.

Combinez le certificat du serveur suivi de tout certificat intermédiaire nécessaire dans un fichier nommé tls.crt. Copiez votre clé de certificat dans un fichier nommé tls.key.

Par exemple, acme.sh fournit le certificat du serveur et les chaînes CA dans le fichier fullchain.cer. Ce fullchain.cer doit être renommé en tls.crt et le fichier de clé de certificat en tls.key.

Utilisez kubectl avec le type de secret tls pour créer les secrets.

kubectl -n cattle-system create secret tls tls-rancher-ingress \
  --cert=tls.crt \
  --key=tls.key

Si vous souhaitez remplacer le certificat, vous pouvez supprimer le secret tls-rancher-ingress en utilisant kubectl -n cattle-system delete secret tls-rancher-ingress et en ajouter un nouveau en utilisant la commande indiquée ci-dessus. Si vous utilisez un certificat signé par une CA privée, le remplacement du certificat n’est possible que si le nouveau certificat est signé par la même CA que le certificat actuellement utilisé.

Utilisation d’un certificat signé par une CA privée

Si vous utilisez une CA privée, Rancher nécessite une copie du certificat racine de la CA privée ou de la chaîne de certificats, que l’Agent Rancher utilise pour valider la connexion au serveur.

Créez un fichier nommé cacerts.pem qui ne contient que le certificat racine CA ou la chaîne de certificats de votre CA privée, et utilisez kubectl pour créer le secret tls-ca dans l’espace de noms cattle-system.

kubectl -n cattle-system create secret generic tls-ca \
  --from-file=cacerts.pem

Le secret tls-ca configuré est récupéré lorsque Rancher démarre. Sur une installation Rancher en cours d’exécution, la CA mise à jour prendra effet après le démarrage de nouveaux pods Rancher.

La chaîne de certificats doit être correctement formatée, sinon les composants peuvent échouer à télécharger des ressources depuis le serveur Rancher.

Ajout de certificats CA supplémentaires

Si vous utilisez un pilote de nœud qui effectue des requêtes API avec une CA différente de celle configurée pour Rancher, vous pouvez ajouter des certificats racines supplémentaires et des chaînes de certificats.

Créez un fichier unique se terminant par .pem pour chaque certificat requis, et utilisez kubectl pour créer le secret tls-additional dans l’espace de noms cattle-system.

kubectl -n cattle-system create secret generic tls-additional \
  --from-file=cacerts1.pem=cacerts1.pem --from-file=cacerts2.pem=cacerts2.pem

Rancher monte ces certificats racines CA et chaînes de certificats dans le pod du pilote de nœud lors du provisionnement.

Mise à jour d’un certificat CA privé

Suivez les étapes sur cette page pour mettre à jour le certificat SSL de l’ingress dans une installation Rancher Kubernetes à haute disponibilité ou pour passer du certificat auto-signé par défaut à un certificat personnalisé.