4.5. Certificats Bootstrap
4.5.1. Objectif
Le kubelet, dans OpenShift Container Platform 4 et les versions ultérieures, utilise le certificat bootstrap situé dans /etc/kubernetes/kubeconfig
pour démarrer initialement. Cette étape est suivie du processus d'initialisation du bootstrap et de l'autorisation du kubelet à créer une CSR.
Dans ce processus, le kubelet génère une CSR tout en communiquant sur le canal d'amorçage. Le gestionnaire du contrôleur signe la CSR, ce qui donne un certificat que le kubelet gère.
4.5.2. Management
Ces certificats sont gérés par le système et non par l'utilisateur.
4.5.3. Expiration
Cette AC d'amorçage est valable pendant 10 ans.
Le certificat géré par les kubelets est valable un an et fait l'objet d'une rotation automatique à environ 80 % de sa durée.
OpenShift Lifecycle Manager (OLM) ne met pas à jour les certificats des Opérateurs qu'il gère dans les environnements proxy. Ces certificats doivent être gérés par l'utilisateur à l'aide de la configuration de l'abonnement.
4.5.4. Personnalisation
Vous ne pouvez pas personnaliser les certificats d'amorçage.