Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

3.3. 为安全集群保留内部证书

安全集群包含 Collector、Sensor、Admission Control 和本地 Scanner 组件。这些组件相互通信,并使用证书与 Central 进行通信。

选择重新发布内部证书的适当方法:

  • 使用自动证书续订功能。这是 Operator 和 Helm 部署的建议方法。
  • 在安全集群中安装、下载并安装 init 捆绑包。您必须具有 Admin 用户角色才能创建 init 捆绑包。只有在证书已过期且安全集群无法再连接到 Central 时,才会为 Operator 和 Helm 部署使用这个方法。
  • 使用自动升级功能,这仅适用于使用 roxctl CLI 的静态清单部署。只有在您有需要使用此方法的特定安装要求时才建议使用这个方法。

安全集群包含 Collector、Sensor、Admission Control 和本地 Scanner 组件。您可以使用自动证书续订为这些组件重新发布内部证书。

TLS 证书会提前自动更新多个月,但仅在 RHACS pod 重启时加载,例如在升级过程中。

3.3.1.1. 验证自动证书续订的状态
复制链接

通过查看 Clusters 页面,您可以验证自动证书续订是否活跃。

流程

  1. 在 RHACS 门户中,点 Platform Configuration Clusters
  2. 验证 Auto-refresh enabled 出现在 Credential Expiration 列中。
重要

如果安全集群显示有关即将过期的凭证的警告,即使启用了 auto-refresh,您必须手动重启受影响集群的 pod 以应用最新的证书并防止停机。

如需更多信息,请参阅"应用最新的内部证书"。

3.3.1.2. 应用最新的内部证书
复制链接

通过手动重启受影响集群的 pod,您可以应用最新的证书并防止停机。

先决条件

  • 您有 Administration 资源的写入权限。

流程

  • 要手动重启受影响集群的 pod,请运行以下命令: 

    $ oc -n <namespace> delete pods --all
    1
    Copy to Clipboard Toggle word wrap
    1
    安装安全集群的命名空间。例如,stackrox

    如果使用 Kubernetes,请使用 kubectl 而不是 oc

安全集群包含 Collector、Sensor、Admission Control 和本地 Scanner 组件。在与其他 Red Hat Advanced Cluster Security for Kubernetes (RHACS)组件通信时,这些组件使用内置服务器证书进行身份验证。

当 Central 证书即将过期时,RHACS 门户会显示信息横幅。

注意

信息横幅仅在证书过期日期前 15 天出现。

先决条件

  • 您有 Administration 资源的写入权限。
  • 您有 Admin 用户角色来创建 init 捆绑包。
重要

安全地存储 init 捆绑包,因为它包含 secret。您可以在多个安全集群中使用相同的捆绑包。

流程

  1. 选择生成 init 捆绑包的适当方法:

    • 要使用用户界面(UI)生成 init 捆绑包,请执行以下步骤:

      1. 在 RHACS 门户中,点 Platform Configuration Clusters
      2. 单击 Init 捆绑包
      3. 要创建新的 init 捆绑包,请点击 Create bundle
      4. 为集群 init 捆绑包输入一个名称。

      5. 选择安全集群的适当平台:

        以下值与安全集群的平台关联:

        • OpenShift
        • EKS
        • AKS
        • GKE

      6. 从下拉列表中选择安全集群服务的适当安装方法:

        以下值与安全集群服务安装方法关联:

        • Operator (推荐)
        • Helm chart

      7. Download

        重要

        您只能在创建 init 捆绑包时下载 YAML 文件。安全地存储 YAML 文件,因为它包含 secret。

    • 要使用 roxctl CLI 生成 init 捆绑包,请运行以下命令: 

      $ roxctl -e <endpoint> -p <admin_password> central \
  init-bundles generate --output-secrets <bundle_name> \
  init-bundle.yaml
      Copy to Clipboard Toggle word wrap

  2. 在每个安全集群中创建所需资源,请运行以下命令: 

    $ oc -n stackrox apply -f <init-bundle.yaml>
    Copy to Clipboard Toggle word wrap

3.3.3. 使用自动升级为安全集群保留内部证书
复制链接

安全集群包含 Collector、Sensor、Admission Control 和本地 Scanner 组件。您可以使用自动升级为这些组件重新发布内部证书。

重要

自动升级只适用于使用 roxctl CLI 基于静态清单的部署。

如需更多信息,请参阅"使用 roxctl CLI 安装 Central"。

先决条件

  • 您已为所有集群启用自动升级。
  • 您有 Administration 资源的写入权限。

流程

  1. 在 RHACS 门户中,点 Platform Configuration Clusters
  2. 选择一个集群来查看其详情。

  3. 在集群详情面板中,选择到 Apply credentials by using an automatic upgrade 的链接。

    注意

    应用自动升级时,Red Hat Advanced Cluster Security for Kubernetes (RHACS)会在所选集群中创建新凭证。但是,您可以继续查看通知。当每个 RHACS 服务在服务重启后使用新凭证时,通知会消失。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat