3.3. Sensor、Collector、および Admission コントローラーの内部証明書の再発行
Sensor、Collector、および Admission コントローラーは、証明書を使用して相互に通信し、Central と通信します。
証明書を置き換えるには、以下のいずれかの方法を使用します。
-
セキュアクラスターに init バンドルを作成、ダウンロード、インストールします。init バンドルを作成するには、
Admin
ユーザーロールが必要です。 -
自動アップグレード機能を使用します。自動アップグレードは、
roxctl
CLI を使用する静的マニフェストのデプロイメントでのみ利用できます。
3.3.1. init バンドルを使用したセキュアクラスターの内部証明書の再発行
セキュアクラスターには、Collector、Sensor、および Admission Control コンポーネントが含まれています。これらのコンポーネントは、他の Red Hat Advanced Cluster Security for Kubernetes コンポーネントとの通信時に、認証に組み込みサーバー証明書を使用します。
Central 証明書の有効期限が近づくと、RHACS ポータルに情報バナーが表示されます。
情報バナーは、証明書の有効期限の 15 日前にのみ表示されます。
前提条件
-
証明書を再発行するには、
ServiceIdentity
リソースのwrite
権限が必要である。
このバンドルにはシークレットが含まれているため、セキュアに保管してください。複数のセキュアクラスターで同じバンドルを使用できます。init バンドルを作成するには、Admin
ユーザーロールが必要です。
手順
RHACS ポータルを使用して init バンドルを生成するには、以下を実行します。
-
Platform Configuration
Clusters を選択します。 - Manage Tokens をクリックします。
- Authentication Tokens セクションに移動し、Cluster Init Bundle をクリックします。
- Generate bundle をクリックする。
- クラスター初期化バンドルの名前を入力し、Generate をクリックする。
- 生成されたバンドルをダウンロードするには、Download Kubernetes secrets file をクリックします。
-
Platform Configuration
roxctl
CLI を使用して init バンドルを生成するには、以下のコマンドを実行します。$ roxctl -e <endpoint> -p <admin_password> central \ init-bundles generate --output-secrets <bundle_name> \ init-bundle.yaml
次のステップ
セキュアクラスターごとに必要なリソースを作成するには、次のコマンドを実行します。
$ oc -n stackrox apply -f <init-bundle.yaml>
3.3.2. 自動アップグレードを使用したセキュアクラスターの内部証明書の再発行
自動アップグレードを使用して、Sensor、Collector、および Admission コントローラーの内部証明書を再発行できます。
自動アップグレードは、roxctl
CLI を使用する静的マニフェストベースのデプロイメントにのみ適用されます。インストール の章の「roxctl CLI を使用したインストール」の「Central のインストール」を参照してください。
前提条件
- すべてのクラスターに対して自動アップグレードを有効にしておく必要がある。
-
証明書を再発行するには、
ServiceIdentity
リソースのwrite
権限が必要である。
手順
-
RHACS ポータルで、Platform Configuration
Clusters に移動します。 - Clusters ビューで、Cluster を選択して詳細を表示します。
- クラスターの詳細パネルから、自動アップグレードを使用して認証情報を適用する リンクを選択します。
自動アップグレードを適用すると、Red Hat Advanced Cluster Security for Kubernetes は選択されたクラスターに新しい認証情報を作成します。ただし、通知は引き続き表示されます。サービスの再起動後、各 Red Hat Advanced Cluster Security for Kubernetes サービスが新しい認証情報の使用を開始すると、通知は消えます。