关于自定义 CA 根证书

如果您在内部生产环境中使用 Rancher,并且不公开应用,请使用来自私有证书颁发机构 (CA) 的证书。

Rancher 需要访问的服务有时配置了来自自定义/内部 CA 根的证书,也称为自签名证书。如果服务提供的证书无法通过 Rancher 验证,则会显示以下错误:x509: certificate signed by unknown authority

要验证证书,需要将 CA 根证书添加到 Rancher。由于 Rancher 是用 Go 编写的,我们可以使用环境变量 SSL_CERT_DIR 指向容器中 CA 根证书所在的目录。可以在启动 Rancher 容器时,使用 Docker 卷选项 (-v host-source-directory:container-destination-directory) 挂载 CA 根证书目录。

Rancher 可以访问的服务示例:

  • 编目

  • 身份验证提供程序

  • 使用 Node 驱动访问托管/云 API

使用自定义 CA 证书进行安装

有关使用挂载的私有 CA 证书启动 Rancher 容器的详细信息,请参阅安装文档: