3.3. 为 Sensor、Collector 和 Admission 控制器恢复内部证书
Sensor、Collector 和 Admission 控制器使用证书相互通信,并与 Central 通信。
要替换证书,请使用以下方法之一:
-
在安全集群中创建、下载并安装 init 捆绑包。您必须具有
Admin用户角色才能创建 init 捆绑包。 -
使用自动升级功能。自动升级仅适用于使用
roxctlCLI 的静态清单部署。
3.3.1. 使用 init 捆绑包为安全集群恢复内部证书
安全集群包含 Collector、Sensor 和 Admission Control 组件。这些组件在与其他 Red Hat Advanced Cluster Security for Kubernetes 组件通信时使用内置服务器证书进行身份验证。
RHACS 门户显示 Central 证书即将过期时的信息横幅。
信息横幅仅在证书到期日期前 15 天出现。
前提条件
-
要重新发布证书,您必须具有
ServiceIdentity资源的写入权限。
安全地存储此捆绑包,因为它包含 secret。您可以在多个安全集群中使用相同的捆绑包。您必须具有 Admin 用户角色才能创建 init 捆绑包。
流程
使用 RHACS 门户生成 init 捆绑包:
-
选择 Platform Configuration
Clusters。 - 单击 Manage Tokens。
- 导航到 Authentication Tokens 部分,再点 Cluster Init Bundle。
- 点 Generate bundle。
- 为集群 init 捆绑包输入一个名称并点 Generate。
- 要下载生成的捆绑包,请点 Download Kubernetes secrets file。
-
选择 Platform Configuration
要使用
roxctlCLI 生成 init 捆绑包,请运行以下命令:$ roxctl -e <endpoint> -p <admin_password> central init-bundle generate <bundle_name> --output-secrets init-bundle.yaml
后续步骤
要在每个安全集群中创建所需资源,请运行以下命令:
$ oc -n stackrox apply -f <init-bundle.yaml>
3.3.2. 使用自动升级为安全集群恢复内部证书
您可以使用自动升级为 Sensor、Collector 和 Admission 控制器重新发布内部证书。
自动升级仅适用于使用 roxctl CLI 的基于静态清单的部署。请参阅安装 章节中的"使用 roxctl CLI 安装"部分中的"安装 Central"。
前提条件
- 您必须为所有集群启用自动升级。
-
要重新发布证书,您必须具有
ServiceIdentity资源的写入权限。
流程
-
在 RHACS 门户中,进入到 Platform Configuration
Clusters。 - 在 Clusters 视图中,选择一个 Cluster 来查看其详情。
- 在集群详情面板中,选择到 Apply credentials by using an automatic upgrade 的链接。
当您应用自动升级时,Red Hat Advanced Cluster Security for Kubernetes 在所选集群中创建新凭证。但是,您仍会看到通知。当每个 Red Hat Advanced Cluster Security for Kubernetes 服务在服务重启后使用新凭证时,通知会退出。
