3.3. 缓解 Sensor、Collector 和 Admission Controller 的内部证书


sensor、Collector 和 Admission Controller 使用证书相互通信,并与 Central 进行通信。

要替换证书,请使用以下方法之一:

  • 在安全集群中创建、下载和安装 init 捆绑包。
  • 使用自动升级功能。自动执行升级仅适用于使用 roxctl CLI 的静态清单部署。

安全的集群包含 Collector、Sensor 和 Admission Control 组件。这些组件在与其他 Red Hat Advanced Cluster Security for Kubernetes 组件通信时,使用内置的服务器证书进行验证。

RHACS 门户在中央证书即将过期时显示信息横幅。

注意

信息横幅仅显示证书到期日期前 15 天。

先决条件

  • 要重新发出证书,必须具有 ServiceIdentity 资源 的写入权限
重要

安全地存储此捆绑包,因为它包含 secret。您可以在多个安全集群中使用相同的捆绑包。

流程

  • 使用 RHACS 门户生成 init 捆绑包:

    1. 选择 Platform Configuration Clusters
    2. 单击 Manage Tokens
    3. 导航到 Authentication Tokens 部分,再单击 Cluster Init Bundle
    4. Generate bundle
    5. 为集群 init 捆绑包输入一个名称并点 Generate
    6. 要下载生成的捆绑包,请点击 Download Kubernetes secrets file
  • 要使用 roxctl CLI 生成 init 捆绑包,请运行以下命令:

    $ roxctl -e <endpoint> -p <admin_password> central init-bundle generate <bundle_name> --output-secrets init-bundle.yaml
    Copy to Clipboard Toggle word wrap

后续步骤

  • 要在每个安全集群中创建必要的资源,请运行以下命令:

    $ oc -n stackrox apply -f <init-bundle.yaml>
    Copy to Clipboard Toggle word wrap

3.3.2. 使用自动升级为安全集群提供内部证书

您可以使用自动升级为 Sensor、Collector 和 Admission Controller 重新发布内部证书。

注意

自动升级仅适用于使用 roxctl CLI 基于静态清单的部署。请参阅安装一章中的"安装中心"一节中的" 安装中心 "。

先决条件

  • 您必须为所有集群启用自动升级。
  • 要重新发出证书,必须具有 ServiceIdentity 资源 的写入权限

流程

  1. 在 RHACS 门户,导航到 Platform Configuration Clusters
  2. Clusters 视图中,选择一个 Cluster 以查看其详情。
  3. 在集群详情面板中,使用自动升级选择到应用凭证 的链接。
注意

应用自动升级时,Red Hat Advanced Cluster Security for Kubernetes 在所选集群中创建新凭证。但是,您仍然会看到一个通知。当每个 Red Hat Advanced Cluster Security for Kubernetes 服务在服务重启后使用新凭证时,通知会生效。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat