Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Rotação de Certificado

Rotacionar certificados do Kubernetes pode resultar na indisponibilidade temporária do seu cluster enquanto os componentes são reiniciados. Para ambientes de produção, é recomendado realizar essa ação durante uma janela de manutenção.

Por padrão, clusters do Kubernetes requerem certificados e clusters do Kubernetes lançados pelo Rancher geram automaticamente certificados para os componentes do Kubernetes. Rotacionar esses certificados é importante antes que os certificados expirem, assim como se um certificado for comprometido. Após a rotação dos certificados, os componentes do Kubernetes são reiniciados automaticamente.

Os certificados podem ser rotacionados para os seguintes serviços:

  • admin

  • api-server

  • controller-manager

  • programador

  • rke2-controller

  • rke2-server

  • cloud-controller

  • etcd

  • auth-proxy

  • kubelet

  • kube-proxy

Para usuários que não rotacionaram seus certificados de webhook e cujos certificados expiraram após um ano, consulte esta página para ajuda.

Rotação de Certificado

Clusters do Kubernetes lançados pelo Rancher têm a capacidade de rotacionar os certificados gerados automaticamente através da interface do usuário.

  1. No canto superior esquerdo, clique em ☰ > Gerenciamento de Cluster.

  2. Na página Clusters, vá para o cluster para o qual você deseja rotacionar os certificados e clique em ⋮ > Rotacionar Certificados.

  3. Selecione quais certificados você deseja rotacionar.

    • Rotacione todos os certificados de Serviço (mantenha a mesma CA)

    • Rotacione um serviço individual e escolha um dos serviços no menu suspenso

  4. Clique em Salvar.

Resultados: Os certificados selecionados serão rotacionados e os serviços relacionados serão reiniciados para começar a usar o novo certificado.

Notas adicionais

No RKE2, tanto os nós etcd quanto os nós do plano de controle são tratados como o mesmo conceito server. Assim, ao rotacionar certificados de serviços específicos para qualquer um desses componentes, os certificados serão rotacionados em ambos. Os certificados só mudarão para o serviço especificado, mas você verá nós de ambos os componentes entrarem em um estado de atualização. Você também pode ver nós apenas de worker entrarem em um estado de atualização. Isso é para reiniciar os worker após uma mudança de certificado para garantir que eles recebam os últimos certificados de cliente.