3.3. 为 Sensor、Collector 和 Admission 控制器重写内部证书
Sensor、Collector 和 Admission 控制器使用证书相互通信,并与 Central 进行通信。
要替换证书,请使用以下方法之一:
-
在安全集群中安装、下载并安装 init 捆绑包。您必须具有
Admin用户角色才能创建 init 捆绑包。 -
使用自动升级功能。自动升级仅适用于使用
roxctlCLI 的静态清单部署。
3.3.1. 使用 init 捆绑包为安全集群保留内部证书
安全集群包含 Collector、Sensor 和 Admission Control 组件。在与其他 Red Hat Advanced Cluster Security for Kubernetes 组件通信时,这些组件使用内置服务器证书进行身份验证。
当 Central 证书即将过期时,RHACS 门户会显示信息横幅。
信息横幅仅在证书过期日期前 15 天出现。
前提条件
-
要重新发布证书,您必须具有
ServiceIdentity资源的写入权限。
安全地存储此捆绑包,因为它包含 secret。您可以在多个安全集群中使用相同的捆绑包。您必须具有 Admin 用户角色才能创建 init 捆绑包。
流程
使用 RHACS 门户生成 init 捆绑包:
-
选择 Platform Configuration
Clusters。 - 单击 Manage Tokens。
- 进入 Authentication Tokens 部分,然后点 Cluster Init Bundle。
- 点 Generate bundle。
- 为集群 init 捆绑包输入一个名称并点 Generate。
- 要下载生成的捆绑包,请点 Download Kubernetes secrets file。
-
选择 Platform Configuration
要使用
roxctlCLI 生成 init 捆绑包,请运行以下命令:$ roxctl -e <endpoint> -p <admin_password> central \ init-bundles generate --output-secrets <bundle_name> \ init-bundle.yaml
后续步骤
在每个安全集群中创建所需资源,请运行以下命令:
$ oc -n stackrox apply -f <init-bundle.yaml>
3.3.2. 使用自动升级为安全集群保留内部证书
您可以使用自动升级为 Sensor、Collector 和 Admission 控制器重新发布内部证书。
自动升级仅适用于使用 roxctl CLI 的基于静态清单的部署。请参阅安装 一章中的"使用 roxctl CLI"部分安装 Central"。
前提条件
- 您必须已为所有集群启用自动升级。
-
要重新发布证书,您必须具有
ServiceIdentity资源的写入权限。
流程
-
在 RHACS 门户中,进入 Platform Configuration
Clusters。 - 在 Clusters 视图中,选择一个 Cluster 来查看其详情。
- 在集群详情面板中,选择到 Apply credentials by using an automatic upgrade 的链接。
应用自动升级时,Red Hat Advanced Cluster Security for Kubernetes 会在所选集群中创建新凭证。但是,您仍然会看到一个通知。当每个 Red Hat Advanced Cluster Security for Kubernetes 服务在服务重启后都开始使用新凭证时,会发出通知。
