この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。

証明書のローテーション

Kubernetesの証明書をローテーションすると、コンポーネントが再起動されるため、クラスターが一時的に利用できなくなる可能性があります。本番環境では、この操作をメンテナンスウィンドウ中に行うことをお勧めします。

デフォルトでは、Kubernetesクラスターは証明書を必要とし、Rancherが起動したKubernetesクラスターはKubernetesコンポーネント用の証明書を自動的に生成します。証明書が期限切れになる前や、証明書が侵害された場合には、これらの証明書をローテーションすることが重要です。証明書がローテーションされた後、Kubernetesコンポーネントは自動的に再起動されます。

以下のサービスの証明書をローテーションできます:

  • admin

  • api-server

  • controller-manager

  • スケジューラ

  • rke2-controller

  • rke2-server

  • cloud-controller

  • etcd

  • auth-proxy

  • kubelet

  • kube-proxy

Webhook証明書をローテーションしなかったユーザーで、1年後に期限切れになった場合は、こちらのページをご覧ください。

証明書のローテーション

Rancherが起動したKubernetesクラスターは、UIを通じて自動生成された証明書をローテーションする機能があります。

  1. 左上隅で、*☰ > クラスター管理*をクリックします。

  2. クラスター*ページで、証明書をローテーションしたいクラスターに移動し、⋮ > 証明書をローテーション*をクリックします。

  3. ローテーションしたい証明書を選択してください。

    • すべてのサービス証明書をローテーション(同じCAを維持)

    • 個別のサービスをローテーションし、ドロップダウンメニューからサービスの1つを選択します。

  4. 保存]をクリックします。

*結果*選択された証明書はローテーションされ、関連するサービスは新しい証明書を使用するために再起動されます。

追加の注意事項

RKE2では、etcdとコントロールプレーンノードは同じ`server`概念として扱われます。したがって、これらのコンポーネントのいずれかに特有のサービスの証明書を回転させると、両方の証明書が回転します。証明書は指定されたサービスのみに変更されますが、両方のコンポーネントのノードが更新状態に入るのが見えるでしょう。ワーカー専用のノードも更新状態に入るのが見えるかもしれません。これは、証明書の変更後にワーカーを再起動して、最新のクライアント証明書を取得するためです。