4.9. Certificats d'opérateur de configuration de machine
4.9.1. Objectif
Les certificats de l'opérateur Machine Config sont utilisés pour sécuriser les connexions entre les nœuds Red Hat Enterprise Linux CoreOS (RHCOS) et le serveur Machine Config.
Currently, there is no supported way to block or restrict the machine config server endpoint. The machine config server must be exposed to the network so that newly-provisioned machines, which have no existing configuration or state, are able to fetch their configuration. In this model, the root of trust is the certificate signing requests (CSR) endpoint, which is where the kubelet sends its certificate signing request for approval to join the cluster. Because of this, machine configs should not be used to distribute sensitive information, such as secrets and certificates.
To ensure that the machine config server endpoints, ports 22623 and 22624, are secured in bare metal scenarios, customers must configure proper network policies.
Ressources supplémentaires
4.9.2. Management
Ces certificats sont gérés par le système et non par l'utilisateur.
4.9.3. Expiration
Cet AC est valable pour une durée de 10 ans.
Les certificats de service délivrés sont valables 10 ans.
4.9.4. Personnalisation
Vous ne pouvez pas personnaliser les certificats de l'opérateur de configuration de la machine.