Rechercher

4.3. Certificats d'AC de service

download PDF

4.3.1. Objectif

service-ca est un opérateur qui crée une autorité de certification auto-signée lors du déploiement d'un cluster OpenShift Container Platform.

4.3.2. Expiration

Un délai d'expiration personnalisé n'est pas pris en charge. L'autorité de certification auto-signée est stockée dans un secret portant le nom qualifié service-ca/signing-key dans les champs tls.crt (certificat(s)), tls.key (clé privée) et ca-bundle.crt (regroupement d'autorités de certification).

D'autres services peuvent demander un certificat de service en annotant une ressource de service avec service.beta.openshift.io/serving-cert-secret-name: <secret name>. En réponse, l'opérateur génère un nouveau certificat ( tls.crt) et une clé privée ( tls.key ) pour le secret indiqué. Le certificat est valable deux ans.

D'autres services peuvent demander que l'ensemble d'AC pour l'AC de service soit injecté dans les ressources du service API ou de la carte de configuration en annotant avec service.beta.openshift.io/inject-cabundle: true pour prendre en charge la validation des certificats générés par l'AC de service. En réponse, l'opérateur écrit son ensemble d'AC actuel dans le champ CABundle d'un service API ou en tant que service-ca.crt dans une carte de configuration.

Depuis OpenShift Container Platform 4.3.5, la rotation automatisée est supportée et est rétroportée dans certaines versions 4.2.z et 4.3.z. Pour toute version prenant en charge la rotation automatisée, l'AC de service est valide pendant 26 mois et est automatiquement actualisée lorsqu'il reste moins de 13 mois de validité. Si nécessaire, vous pouvez actualiser manuellement l'autorité de certification de service.

L'expiration de l'autorité de certification de service de 26 mois est plus longue que l'intervalle de mise à niveau prévu pour un cluster OpenShift Container Platform pris en charge, de sorte que les consommateurs de certificats d'autorité de certification de service hors plan de contrôle seront actualisés après la rotation de l'autorité de certification et avant l'expiration de l'autorité de certification de pré-rotation.

Avertissement

Une AC de service à rotation manuelle ne maintient pas la confiance avec l'AC de service précédente. Vous risquez de subir une interruption de service temporaire jusqu'à ce que les pods du cluster soient redémarrés, ce qui garantit que les pods utilisent les certificats de service délivrés par la nouvelle autorité de certification de service.

4.3.3. Management

Ces certificats sont gérés par le système et non par l'utilisateur.

4.3.4. Services

Les services qui utilisent des certificats d'AC de service sont les suivants

  • cluster-autoscaler-operator
  • opérateur de surveillance des clusters
  • cluster-authentication-operator
  • opérateur de registre d'images en grappe
  • opérateur d'avertissement en grappe (cluster-ingress-operator)
  • cluster-kube-apiserver-operator
  • cluster-kube-controller-manager-operator
  • cluster-kube-scheduler-operator
  • opérateur de mise en réseau de clusters
  • cluster-openshift-apiserver-operator
  • cluster-openshift-controller-manager-operator
  • opérateur de regroupement d'échantillons
  • machine-config-operator
  • opérateur de console
  • opérateur de connaissances
  • machine-api-opérateur
  • gestionnaire du cycle de vie de l'opérateur

Cette liste n'est pas exhaustive.

Ressources supplémentaires

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.