2.4. サービス CA 証明書
目的
service-ca
は、OpenShift Container Platform クラスターのデプロイ時に自己署名の CA を作成する Operator です。
有効期限
カスタムの有効期限はサポートされません。自己署名 CA は、フィールド tls.crt
(証明書)、tls.key
(プライベートキー)、および ca-bundle.crt
(CA バンドル) の修飾名 service-ca/signing-key
を持つシークレットに保存されます。
他のサービスは、サービスリソースに service.beta.openshift.io/serving-cert-secret-name: <secret name>
のアノテーションを付けてサービス提供証明書を要求できます。応答として、Operator は、名前付きシークレットに対し、新規証明書を tls.crt
として、プライベートキーを tls.key
として生成します。証明書は 2 年間有効です。
他のサービスは、サービス CA から生成される証明書の検証をサポートするために、service.beta.openshift.io/inject-cabundle: true
のアノテーションを付けてサービス CA の CA バンドルを APIService または ConfigMap リソースに挿入するように要求します。応答として、Operator はその現在の CA バンドルを APIService の CABundle
フィールドに書き込むか、または service-ca.crt
として ConfigMap に書き込みます。
OpenShift Container Platform 4.3.5 の時点で、自動ローテーションはサポートされ、一部の 4.2.z および 4.3.z リリースにバックポートされます。自動ローテーションをサポートするすべてのリリースについて、サービス CA は 26 ヵ月間有効であり、有効期間までの残りの期間が 13 ヵ月未満になると自動的に更新されます。必要に応じて、サービス CA を手動で更新することができます。
サービス CA 有効期限の 26 ヵ月は、サポートされる OpenShift Container Platform クラスターの予想されるアップグレード間隔よりも長くなります。そのため、サービス CA 証明書のコントロールプレーン以外のコンシューマーは CA のローテーション後に更新され、またローテーション前の CA の有効期限が切れる前に更新されます。
手動でローテーションされるサービス CA は、直前のサービス CA で信頼を維持しません。クラスターの Pod が再起動するまでサービスが一時的に中断する可能性があります。これにより、Pod が新規サービス CA で発行されるサービス提供証明書を使用できるようになります。
管理
これらの証明書は、ユーザーではなく、システムによって管理されます。
サービス
サービス CA 証明書を使用するサービスには以下が含まれます。
- cluster-autoscaler-operator
- cluster-monitoring-operator
- cluster-authentication-operator
- cluster-image-registry-operator
- cluster-ingress-operator
- cluster-kube-apiserver-operator
- cluster-kube-controller-manager-operator
- cluster-kube-scheduler-operator
- cluster-networking-operator
- cluster-openshift-apiserver-operator
- cluster-openshift-controller-manager-operator
- cluster-samples-operator
- cluster-svcat-apiserver-operator
- cluster-svcat-controller-manager-operator
- machine-config-operator
- console-operator
- insights-operator
- machine-api-operator
- operator-lifecycle-manager
これはすべてを網羅した一覧ではありません。