|
Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi. |
|
Il s'agit d'une documentation non publiée pour Admission Controller 1.34-dev. |
Rotation des certificats
SUSE Security Admission Controller La version v1.17.0 a supprimé la dépendance au cert-manager. Le contrôleur est capable de gérer tous les certificats utilisés par tous les composants. Maintenant, le contrôleur a une nouvelle boucle de réconciliation qui garantit que les certificats sont toujours à jour et que la configuration du webhook est correcte.
L’installation du chart Helm effectue la première génération de certificat. Elle génère la CA racine avec une durée de validité de dix ans. L’installation du chart Helm génère également le certificat du serveur web du webhook du contrôleur, signé par la CA racine. Le serveur API utilise cela pour communiquer avec le Admission Controller contrôleur afin de valider les CRD. Il a une durée de validité d’un an.
Une fois que le contrôleur démarre, son réconciliateur renouvelle automatiquement les certificats lorsqu’ils sont sur le point d’expirer. Il met également à jour tous les certificats et configurations de webhook utilisés par l’ensemble de la Admission Controller pile.
|
Tous les certificats générés par le chart Helm et plus tard par le contrôleur utilisent des clés ECDSA P256. |
La boucle de réconciliation renouvelle les certificats 60 jours avant leur expiration. Les certificats se renouvellent sans temps d’arrêt. La boucle de réconciliation s’occupe également de renouveler la CA racine.
Le contrôleur génère une nouvelle CA racine 60 jours avant son expiration. Le contrôleur met à jour le bundle CA utilisé par tous les webhooks pour inclure à la fois la nouvelle CA racine et l’ancienne.
Le changement de la CA racine amène le réconciliateur à recréer les certificats émis aux webhooks. La propagation des nouveaux certificats nécessite une période de temps. Cependant, pendant ce temps, le bundle CA mis à jour permet au serveur API de continuer à communiquer avec tous les webhooks sans aucun temps d’arrêt.
Lorsqu’un nouveau certificat est prêt et que l’ancien est invalide, le contrôleur met à jour le bundle CA, utilisé par les webhooks, pour n’inclure que la dernière CA racine.
Lorsqu’un certificat de serveur de stratégie ou de serveur web contrôleur est renouvelé, le contrôleur met à jour le secret avec le nouveau certificat signé par la CA racine. Grâce à cette fonctionnalité de rechargement, le contrôleur et le serveur de stratégie utilisent le nouveau certificat sans avoir besoin de redémarrer les processus, évitant ainsi tout temps d’arrêt.