1.7. Machine Config Operator 証明書について
Machine Config Operator 証明書は、Red Hat Enterprise Linux CoreOS (RHCOS) ノードと Machine Config Server 間の接続を保護するために使用されます。詳細は、Machine Config Operator 証明書 を参照してください。
1.7.1. 証明書の表示と操作
次の証明書はクラスター内で Machine Config Controller (MCC) によって処理され、ControllerConfig
リソースにあります。
-
/etc/kubernetes/kubelet-ca.crt
-
/etc/kubernetes/static-pod-resources/configmaps/cloud-config/ca-bundle.pem
-
/etc/pki/ca-trust/source/anchors/openshift-config-user-ca-bundle.crt
MCC は、イメージレジストリー証明書とそれに関連するユーザーバンドル証明書も処理します。
証明書の元となる基礎バンドル、署名データとサブジェクトデータなど、リストされた証明書に関する情報を取得できます。
手順
次のコマンドを実行して、詳細な証明書情報を取得します。
$ oc get controllerconfig/machine-config-controller -o yaml | yq -y '.status.controllerCertificates'
出力例
"controllerCertificates": [ { "bundleFile": "KubeAPIServerServingCAData", "signer": "<signer_data1>", "subject": "CN=openshift-kube-apiserver-operator_node-system-admin-signer@168909215" }, { "bundleFile": "RootCAData", "signer": "<signer_data2>", "subject": "CN=root-ca,OU=openshift" } ]
次のコマンドを使用してマシン設定プールのステータスを確認し、ControllerConfig で見つかった情報のより単純なバージョンを取得します。
$ oc get mcp master -o yaml | yq -y '.status.certExpirys'
出力例
status: certExpirys: - bundle: KubeAPIServerServingCAData subject: CN=admin-kubeconfig-signer,OU=openshift - bundle: KubeAPIServerServingCAData subject: CN=kube-csr-signer_@1689585558 - bundle: KubeAPIServerServingCAData subject: CN=kubelet-signer,OU=openshift - bundle: KubeAPIServerServingCAData subject: CN=kube-apiserver-to-kubelet-signer,OU=openshift - bundle: KubeAPIServerServingCAData subject: CN=kube-control-plane-signer,OU=openshift
このメソッドは、マシン設定プール情報をすでに使用している OpenShift Container Platform アプリケーションを対象としています。
/etc/docker/cert.d
ディレクトリーの内容を調べて、どのイメージレジストリー証明書がノード上にあるかを確認します。# ls /etc/docker/certs.d
出力例
image-registry.openshift-image-registry.svc.cluster.local:5000 image-registry.openshift-image-registry.svc:5000