4.3. Certificats d'AC de service
4.3.1. Objectif
service-ca
est un opérateur qui crée une autorité de certification auto-signée lors du déploiement d'un cluster OpenShift Container Platform.
4.3.2. Expiration
Un délai d'expiration personnalisé n'est pas pris en charge. L'autorité de certification auto-signée est stockée dans un secret portant le nom qualifié service-ca/signing-key
dans les champs tls.crt
(certificat(s)), tls.key
(clé privée) et ca-bundle.crt
(regroupement d'autorités de certification).
D'autres services peuvent demander un certificat de service en annotant une ressource de service avec service.beta.openshift.io/serving-cert-secret-name: <secret name>
. En réponse, l'opérateur génère un nouveau certificat ( tls.crt
) et une clé privée ( tls.key
) pour le secret indiqué. Le certificat est valable deux ans.
D'autres services peuvent demander que l'ensemble d'AC pour l'AC de service soit injecté dans les ressources du service API ou de la carte de configuration en annotant avec service.beta.openshift.io/inject-cabundle: true
pour prendre en charge la validation des certificats générés par l'AC de service. En réponse, l'opérateur écrit son ensemble d'AC actuel dans le champ CABundle
d'un service API ou en tant que service-ca.crt
dans une carte de configuration.
Depuis OpenShift Container Platform 4.3.5, la rotation automatisée est supportée et est rétroportée dans certaines versions 4.2.z et 4.3.z. Pour toute version prenant en charge la rotation automatisée, l'AC de service est valide pendant 26 mois et est automatiquement actualisée lorsqu'il reste moins de 13 mois de validité. Si nécessaire, vous pouvez actualiser manuellement l'autorité de certification de service.
L'expiration de l'autorité de certification de service de 26 mois est plus longue que l'intervalle de mise à niveau prévu pour un cluster OpenShift Container Platform pris en charge, de sorte que les consommateurs de certificats d'autorité de certification de service hors plan de contrôle seront actualisés après la rotation de l'autorité de certification et avant l'expiration de l'autorité de certification de pré-rotation.
Une AC de service à rotation manuelle ne maintient pas la confiance avec l'AC de service précédente. Vous risquez de subir une interruption de service temporaire jusqu'à ce que les pods du cluster soient redémarrés, ce qui garantit que les pods utilisent les certificats de service délivrés par la nouvelle autorité de certification de service.
4.3.3. Management
Ces certificats sont gérés par le système et non par l'utilisateur.
4.3.4. Services
Les services qui utilisent des certificats d'AC de service sont les suivants
- cluster-autoscaler-operator
- opérateur de surveillance des clusters
- cluster-authentication-operator
- opérateur de registre d'images en grappe
- opérateur d'avertissement en grappe (cluster-ingress-operator)
- cluster-kube-apiserver-operator
- cluster-kube-controller-manager-operator
- cluster-kube-scheduler-operator
- opérateur de mise en réseau de clusters
- cluster-openshift-apiserver-operator
- cluster-openshift-controller-manager-operator
- opérateur de regroupement d'échantillons
- machine-config-operator
- opérateur de console
- opérateur de connaissances
- machine-api-opérateur
- gestionnaire du cycle de vie de l'opérateur
Cette liste n'est pas exhaustive.