|
この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。 |
TLSシークレットの追加
KubernetesはRancherのためにすべてのオブジェクトとサービスを作成しますが、`tls-rancher-ingress`シークレットを`cattle-system`ネームスペースに証明書と鍵で設定するまで利用できません。
サーバー証明書と必要な中間証明書を`tls.crt`というファイル名のファイルにまとめてください。証明書の鍵を`tls.key`というファイル名のファイルにコピーしてください。
例えば、 acme.shは`fullchain.cer`ファイルにサーバー証明書とCAチェーンを提供します。 この`fullchain.cer`は`tls.crt`に名前を変更し、証明書鍵ファイルは`tls.key`として保存してください。
`kubectl`を`tls`シークレットタイプと共に使用してシークレットを作成してください。
kubectl -n cattle-system create secret tls tls-rancher-ingress \ --cert=tls.crt \ --key=tls.key
|
証明書を置き換えたい場合は、`tls-rancher-ingress`シークレットを`kubectl -n cattle-system delete secret tls-rancher-ingress`を使用して削除し、上記のコマンドを使用して新しいものを追加できます。プライベートCA署名証明書を使用している場合、証明書を置き換えることは、新しい証明書が現在使用中の証明書と同じCAによって署名されている場合のみ可能です。 |
プライベートCA署名証明書の使用
プライベートCAを使用している場合、RancherはプライベートCAのルート証明書または証明書チェーンのコピーを必要とし、Rancherエージェントはサーバーへの接続を検証するためにそれを使用します。
プライベートCAからのルートCA証明書または証明書チェーンのみを含む`cacerts.pem`という名前のファイルを作成し、`kubectl`を使用して`tls-ca`シークレットを`cattle-system`ネームスペースに作成してください。
kubectl -n cattle-system create secret generic tls-ca \ --from-file=cacerts.pem
|
設定された`tls-ca`シークレットはRancherが起動する際に取得されます。稼働中のRancherインストールでは、新しいRancherポッドが起動した後に更新されたCAが有効になります。 証明書チェーンは正しくフォーマットされている必要があります。そうでないと、コンポーネントがRancherサーバーからリソースをダウンロードできない場合があります。 |
追加のCA証明書の追加
Rancherに設定されたCAとは異なるCAでAPIリクエストを行うノードドライバーを使用している場合、追加のルート証明書と証明書チェーンを追加できます。
必要な各証明書に対して`.pem`で終わるユニークなファイルを作成し、kubectlを使用して`tls-additional`シークレットを`cattle-system`ネームスペースに作成してください。
kubectl -n cattle-system create secret generic tls-additional \ --from-file=cacerts1.pem=cacerts1.pem --from-file=cacerts2.pem=cacerts2.pem
Rancherはプロビジョニング中にこれらのCAルート証明書と証明書チェーンをノードドライバーポッドにマウントします。
プライベートCA証明書の更新
Rancherのこのページに記載された手順に従い、Rancherの高可用性KubernetesインストールにおいてIngressのSSL証明書を更新するか、デフォルトの自己署名証明書からカスタム証明書に切り替えてください。