Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

4.6. etcd 証明書

4.6.1. 目的
リンクのコピー

etcd 証明書は etcd-signer によって署名されます。それらの証明書はブートストラッププロセスで生成される認証局 (CA) から提供されます。

4.6.2. 有効期限
リンクのコピー

CA 証明書は 10 年間有効です。ピア、クライアント、およびサーバーの証明書は 3 年間有効です。

4.6.3. etcd 証明書のローテーション
リンクのコピー

etcd 証明書は、etcd クラスター Operator を使用して自動的にローテーションされます。ただし、証明書を自動的にローテーションする前にローテーションする必要がある場合は、手動でローテーションすることができます。

手順

  1. 次のコマンドを実行して、現在の署名者証明書のバックアップコピーを作成します。 

    $ oc get secret -n openshift-etcd etcd-signer -oyaml > signer_backup_secret.yaml
    Copy to Clipboard Toggle word wrap

  2. 次のコマンドを実行して、既存の署名者証明書を削除します。 

    $ oc delete secret -n openshift-etcd etcd-signer
    Copy to Clipboard Toggle word wrap

  3. 次のコマンドを実行して、静的 Pod のロールアウトを待ちます。静的 Pod のロールアウトが完了するまでに数分かかる場合があります。 

    $ oc wait --for=condition=Progressing=False --timeout=15m clusteroperator/etcd
    Copy to Clipboard Toggle word wrap

4.6.4. 未使用の認証局をバンドルから削除する
リンクのコピー

手動ローテーションでは、署名者証明書の公開鍵を削除するために、トラストバンドルをすぐに更新することはしません。

署名者証明書の公開鍵は、有効期限が切れると削除されますが、有効期限が切れる前に削除する必要がある場合は、独自に削除できます。

手順

  1. 次のコマンドを実行してキーを削除します。 

    $ oc delete configmap -n openshift-etcd etcd-ca-bundle
    Copy to Clipboard Toggle word wrap

  2. 次のコマンドを実行して、静的 Pod のロールアウトを待ちます。バンドルは現在の署名者証明書を使用して再生成され、不明なキーまたは未使用のキーはすべて削除されます。 

    $ oc adm wait-for-stable-cluster --minimum-stable-period 2m
    Copy to Clipboard Toggle word wrap

4.6.5. etcd 証明書ローテーションアラートおよびメトリクス署名者証明書
リンクのコピー

2 つのアラートが、保留中の etcd 証明書の有効期限切れについてユーザーに通知します。

etcdSignerCAExpirationWarning
署名者の有効期限が切れるまで 730 日間通知されます。
etcdSignerCAExpirationCritical
署名者の有効期限が切れるまで 365 日間通知されます。

これらのアラートは、openshift-etcd namespace 内の署名者認証局の有効期限の日付を追跡します。

証明書をローテーションできる理由は次のとおりです。

  • 有効期限切れのアラートが表示された場合
  • 秘密鍵が漏洩した場合
重要

秘密鍵が漏洩した場合は、すべての証明書をローテーションする必要があります。

OpenShift Container Platform のメトリクスシステムには、専用の etcd 署名者が存在します。etcd 証明書のローテーション では、次のメトリクス用のパラメーターに置き換えてください。

  • etcd-signer の代わりに etcd-metric-signer を使用
  • etcd-ca-bundle の代わりに etcd-metrics-ca-bundle を使用

4.6.6. 管理
リンクのコピー

これらの証明書はシステムによってのみ管理され、自動的にローテーションされます。

4.6.7. サービス
リンクのコピー

etcd 証明書は、etcd メンバーピアと暗号化されたクライアントトラフィック間の暗号化された通信に使用されます。以下の証明書は etcd および etcd と通信する他のプロセスによって生成され、使用されます。

  • ピア証明書: etcd メンバー間の通信に使用されます。
  • クライアント証明書: 暗号化されたサーバーとクライアント間の通信に使用されます。現時点で、クライアント証明書は API サーバーによってのみ使用され、プロキシーを除いてその他のサービスは etcd に直接接続されません。クライアントシークレット (etcd-clientetcd-metric-clientetcd-metric-signeretcd-signer) が、openshift-configopenshift-etcdopenshift-etcd-operator、および openshift-kube-apiserver namespace に追加されます。
  • サーバー証明書: クライアント要求を認証するために etcd サーバーによって使用されます。
  • メトリック証明書: メトリックのすべてのコンシューマーは metric-client 証明書を使用してプロキシーに接続します。
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat