Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Adicionando Segredos TLS

O Kubernetes criará todos os objetos e serviços para o Rancher, mas ele só estará disponível depois que o segredo tls-rancher-ingress no namespace cattle-system for preenchido com o certificado e a chave.

Combine o certificado do servidor seguido por quaisquer certificados intermediários necessários em um arquivo chamado tls.crt. Copie sua chave de certificado para um arquivo chamado tls.key.

Por exemplo, acme.sh fornece o certificado do servidor e as cadeias de CA no arquivo fullchain.cer. Este fullchain.cer deve ser renomeado para tls.crt e o arquivo da chave do certificado deve ser renomeado como tls.key.

Use kubectl com o tipo de segredo tls para criar os segredos.

kubectl -n cattle-system create secret tls tls-rancher-ingress \
  --cert=tls.crt \
  --key=tls.key

Se você quiser substituir o certificado, pode excluir o segredo tls-rancher-ingress usando kubectl -n cattle-system delete secret tls-rancher-ingress e adicionar um novo usando o comando mostrado acima. Se você estiver usando um certificado assinado por uma CA privada, substituir o certificado só é possível se o novo certificado for assinado pela mesma CA que o certificado atualmente em uso.

Usando um Certificado Assinado por uma CA Privada

Se você estiver usando uma CA privada, o Rancher requer uma cópia do certificado raiz ou da cadeia de certificados da CA privada, que o Agente Rancher usa para validar a conexão com o servidor.

Crie um arquivo chamado cacerts.pem que contenha apenas o certificado raiz da CA ou a cadeia de certificados da sua CA privada, e use kubectl para criar o segredo tls-ca no namespace cattle-system.

kubectl -n cattle-system create secret generic tls-ca \
  --from-file=cacerts.pem

O segredo tls-ca configurado é recuperado quando o Rancher inicia. Em uma instalação do Rancher em execução, a CA atualizada terá efeito após novos pods do Rancher serem iniciados.

A cadeia de certificados deve estar formatada corretamente, ou os componentes podem falhar ao baixar recursos do servidor Rancher.

Adicionando Certificados CA Adicionais

Se você estiver usando um driver de nó que faz solicitações de API com uma CA diferente da configurada para o Rancher, pode adicionar certificados raiz adicionais e cadeias de certificados.

Crie um arquivo único com a extensão .pem para cada certificado que é necessário e use o kubectl para criar o segredo tls-additional no namespace cattle-system.

kubectl -n cattle-system create secret generic tls-additional \
  --from-file=cacerts1.pem=cacerts1.pem --from-file=cacerts2.pem=cacerts2.pem

O Rancher monta esses certificados raiz de CA e cadeias de certificados no pod do driver do nó durante o provisionamento.

Atualizando um certificado de CA privada

Siga os passos na esta página para atualizar o certificado SSL do ingress em uma instalação Rancher Kubernetes de alta disponibilidade ou para trocar do certificado autoassinado padrão para um certificado personalizado.