Red Hat Summit第4章 内部証明書の再発行
Red Hat Advanced Cluster Security for Kubernetes の各コンポーネントは、X.509 証明書を使用して他のコンポーネントに対して自身を認証します。これらの証明書には有効期限があり、有効期限が切れる前に証明書を再発行またはローテーションする必要があります。証明書の有効期限を表示するには、RHACS ポータルで Platform Configuration
4.1. Central サービスの内部証明書の再発行
Central サービスには、Central、Central DB、Scanner、および Scanner V4 コンポーネントが含まれます。Central サービスは、他の Red Hat Advanced Cluster Security for Kubernetes (RHACS) サービスと通信するときに、認証用に組み込みのサーバー証明書を使用します。この証明書は、Central サービスのインストールに固有です。RHACS ポータルでは、Central サービス証明書の有効期限が近づくと情報バナーが表示されます。
この情報バナーは、証明書の有効期限が切れる 15 日前にのみ表示されます。
RHACS 4.3.4 以降、Operator は、有効期限の 6 カ月前に、すべての Central コンポーネントのサービス Transport Layer Security (TLS) 証明書を自動的にローテーションします。
- TLS 証明書の自動ローテーションは、Operator ベースのインストールにのみ適用されます。その他のすべてのインストール方法では、TLS 証明書を手動でローテーションする必要があります。
- シークレット内の TLS 証明書のローテーションは、コンポーネントがそれらを自動的に再読み込みすることをトリガーしません。対応する Pod が少なくとも 6 カ月ごとに再起動されない場合は、古い証明書の有効期限が切れる前に、Pod を手動で再起動して新しい証明書を読み込む必要があります。
4.1.1. Central の内部証明書の再発行
内部証明書を再発行することで、Central とその他の Red Hat Advanced Cluster Security for Kubernetes (RHACS) コンポーネント間のセキュアな通信を維持できます。
前提条件
-
Administrationリソースに対するwrite権限がある。
手順
- RHACS ポータルで、証明書の有効期限を通知するバナーのリンクをクリックして、新しいシークレットが含まれる YAML 設定ファイルをダウンロードします。シークレットには、証明書とキーの値が含まれます。
Central をインストールしたクラスターに新しい YAML 設定ファイルを適用するには、次のコマンドを実行します。
oc apply -f <secret_file.yaml>
$ oc apply -f <secret_file.yaml>Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 変更を適用するには、Central を再起動します。
4.1.1.1. Central コンテナーの再起動
Central Pod を削除すると、Central コンテナーを再起動できます。
Kubernetes を使用する場合は、oc の代わりに kubectl を入力します。
手順
Central Pod を削除するには、次のコマンドを実行します。
oc -n stackrox delete pod -lapp=central
$ oc -n stackrox delete pod -lapp=centralCopy to Clipboard Copied! Toggle word wrap Toggle overflow
4.1.2. Central DB の内部証明書の再発行
内部証明書を再発行することで、Central DB とその他の Red Hat Advanced Cluster Security for Kubernetes (RHACS) コンポーネント間のセキュアな通信を維持できます。
前提条件
-
Administrationリソースに対するwrite権限がある。
手順
- RHACS ポータルで、証明書の有効期限を通知するバナーのリンクをクリックして、新しいシークレットが含まれる YAML 設定ファイルをダウンロードします。シークレットには、証明書とキーの値が含まれます。
Central DB をインストールしたクラスターに新しい YAML 設定ファイルを適用するには、次のコマンドを実行します。
oc apply -f <secret_file.yaml>
$ oc apply -f <secret_file.yaml>Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 変更を適用するには、Central DB を再起動します。
4.1.2.1. Central DB コンテナーの再起動
Central DB Pod を削除すると、Central DB コンテナーを再起動できます。
Kubernetes を使用する場合は、oc の代わりに kubectl を入力します。
手順
Central DB Pod を削除するには、次のコマンドを実行します。
oc -n stackrox delete pod -lapp=central-db
$ oc -n stackrox delete pod -lapp=central-dbCopy to Clipboard Copied! Toggle word wrap Toggle overflow
4.1.3. Scanner の内部証明書の再発行
内部証明書を再発行することで、Scanner とその他の Red Hat Advanced Cluster Security for Kubernetes (RHACS) コンポーネント間のセキュアな通信を維持できます。
前提条件
-
Administrationリソースに対するwrite権限がある。
手順
- バナー内のリンクをクリックして、証明書とキー値を含む新しい OpenShift Container Platform シークレットが含まれる YAML 設定ファイルをダウンロードします。
Scanner をインストールしたクラスターに新しい YAML 設定ファイルを適用するには、次のコマンドを実行します。
oc apply -f <secret_file.yaml>
$ oc apply -f <secret_file.yaml>Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 変更を適用するには、Scanner を再起動します。
4.1.3.1. Scanner および Scanner DB コンテナーの再起動
Pod を削除すると、Scanner と Scanner DB コンテナーを再起動できます。
Kubernetes を使用する場合は、oc の代わりに kubectl を入力します。
手順
Scanner Pod を削除するには、次のコマンドを実行します。
oc delete pod -n stackrox -l app=scanner
$ oc delete pod -n stackrox -l app=scannerCopy to Clipboard Copied! Toggle word wrap Toggle overflow Scanner DB Pod を削除するには、次のコマンドを実行します。
oc -n stackrox delete pod -l app=scanner-db
$ oc -n stackrox delete pod -l app=scanner-dbCopy to Clipboard Copied! Toggle word wrap Toggle overflow
4.1.4. Scanner V4 の内部証明書の再発行
内部証明書を再発行することで、Scanner V4 とその他の Red Hat Advanced Cluster Security for Kubernetes (RHACS) コンポーネント間のセキュアな通信を維持できます。
前提条件
-
Administrationリソースに対するwrite権限がある。
手順
- バナー内のリンクをクリックして、証明書とキー値を含む新しい OpenShift Container Platform シークレットが含まれる YAML 設定ファイルをダウンロードします。
Scanner V4 をインストールしたクラスターに新しい YAML 設定ファイルを適用するには、次のコマンドを実行します。
oc apply -f <secret_file.yaml>
$ oc apply -f <secret_file.yaml>Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 変更を適用するには、Scanner V4 を再起動します。
4.1.4.1. Scanner V4 コンテナーの再起動
対応する Pod を削除することで、Scanner V4 Matcher、Indexer、および DB コンテナーを再起動できます。
Kubernetes を使用する場合は、oc の代わりに kubectl を入力します。
手順
Scanner V4 Matcher Pod を削除するには、次のコマンドを実行します。
oc delete pod -n stackrox -l app=scanner-v4-matcher
$ oc delete pod -n stackrox -l app=scanner-v4-matcherCopy to Clipboard Copied! Toggle word wrap Toggle overflow Scanner V4 Indexer Pod を削除するには、次のコマンドを実行します。
oc delete pod -n stackrox -l app=scanner-v4-indexer
$ oc delete pod -n stackrox -l app=scanner-v4-indexerCopy to Clipboard Copied! Toggle word wrap Toggle overflow Scanner V4 DB Pod を削除するには、次のコマンドを実行します。
oc delete pod -n stackrox -l app=scanner-v4-db
$ oc delete pod -n stackrox -l app=scanner-v4-dbCopy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}