Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Operator Nexus stellt auf jedem Cluster eine In-Cluster-Public Key-Infrastruktur (Public Key Infrastructure, PKI) bereit. Jeder Cluster verwaltet eine selbstsignierte Zertifizierungsstelle (CA)-Hierarchie, die den Standort niemals verlässt, um sicherzustellen, dass das kryptografische Vertrauensverhältnis pro Bereitstellung isoliert ist. Diese Isolation minimiert die Auswirkungen jeglicher Kompromittierung.
Übersicht über die PKI-Architektur
- Vertrauensgrenze pro Cluster: Jede Azure Operator Nexus-Instanz stellt eine unabhängige Stammzertifizierungsstelle bereit. Es gibt keine gemeinsame Zertifizierungsstelle für Cluster, und Zertifikate werden nie zwischen Websites wiederverwendet.
- Eigenständige Ausstellung: Zertifikatausstellung und -verlängerung werden lokal innerhalb der Kubernetes-Steuerebene durchgeführt. Zertifikate werden nicht von externen oder zentralisierten PKI-Diensten angefordert.
- Zweckspezifische Aussteller: Dedizierte Zwischenzertifizierungsstellen signieren Zertifikate für unterschiedliche Workloads (manuell betriebene Konsolen versus interne Dienste), um den Berechtigungsbereich zu minimieren.
Diese Architektur ermöglicht Es Kunden, in getrennten oder halb verbundenen Umgebungen zu arbeiten und gleichzeitig die Vorteile der TLS-Authentifizierung, Verschlüsselung bei der Übertragung und kryptografischer Auditierbarkeit beizubehalten.
Zertifikatverwaltung mit Zertifikat-Manager
Azure Operator Nexus basiert auf dem Cert-Manager , um Zertifikatlebenszyklus zu automatisieren:
- Ausstellerobjekte werden für jeden Zertifikatzweck definiert (Schnittstellenzugriff, interne Dienste und andere spezialisierte Workloads).
- Zertifikatressourcen fordern Blattzertifikate vom entsprechenden Aussteller an, einschließlich der von Plattformkomponenten benötigten Subject Alternative Names (SANs).
- Die Erneuerungsautomatisierung wird vom Cert-Manager gesteuert, der Blattzertifikate vor ablaufen erneuert und transparent auf der Plattform dreht.
- Die geheime Verteilung an Pods und Dienste erfolgt über Kubernetes-Geheimschlüssel und projizierte Volumes, um sicherzustellen, dass Arbeitsauslastungen immer gültige Zertifikate darstellen.
Zertifikatsrotation und Lebensdauer
-
Automatische Erneuerung: cert-manager erneuert Zertifikate, bevor sie ablaufen, basierend auf den
CertificateRessourceneinstellungen (wiedurationundrenewBefore). - Standardzertifikatlebensdauer: Die meisten Tls-Zertifikate des Azure Operator Nexus-Blatts werden 70 Tage lang ausgestellt.
-
Ausnahmen: Einige Komponenten verwenden unterschiedliche Lebensdauern.
- Etcd Snapshotter: Gibt Server- und Clientzertifikate mit einer Lebensdauer von 1 Jahren aus.
- Tokendienst: Gibt seine Zertifizierungsstellen- und Serverzertifikate mit einer Lebensdauer von 3 Jahren aus.
- Verlängerungsfenster: Zertifikate werden in der Regel ca . 23 Tage vor Ablauf verlängert.
Von Bedeutung
Wenn ein TLS-Zertifikat abläuft, verweigern Clients, die TLS überprüfen, die Verbindung. Einige benutzerorientierte Tools ermöglichen es Ihnen, die Überprüfung zu umgehen (z. B. ein Browserklick), aber Plattformdienste erfordern eine Überprüfung, um weiter genutzt zu werden. Erneuern Sie das Zertifikat, damit Workloads das aktualisierte Geheimnis übernehmen.
Warnung
iDRAC erwartet eine 60-tägige Zertifikatlebensdauer und löst Warnungen bei Annäherung an das Ablaufdatum aus. Dies unterscheidet sich von der Plattformlebensdauer von 70 Tagen und wird überprüft. Die Zertifikatverlängerung beginnt derzeit ca. 13 Tage vor dem erwarteten Ablauf von iDRAC.
Da alle Ausgaben innerhalb des Clusters erfolgen, behalten operator die volle Kontrolle über die Vertrauensstruktur, ohne auf Konnektivität oder Dienste von außerhalb angewiesen zu sein.
Ausstellerhierarchie
Zwei primäre Zertifikatsaussteller werden pro Cluster bereitgestellt, um die unterschiedlichen Vertrauensanforderungen von menschlich bedienten Schnittstellen und Service-Workloads zu erfüllen.
Schnittstellenherausgeber
- Zweck: Signiert TLS-Zertifikate, die von Ressourcenschnittstellen verwendet werden, einschließlich Bare Metal-Maschine BMC/iDRAC und Endpunkten für Speichergeräteverwaltung.
- Bereich: Nur Zertifikate für Verwaltungsendpunkte.
- Erneuerung: Cert-Manager erneuert Schnittstellenzertifikate vor dem Ablauf. Diese Zertifikate werden in der Regel 70 Tage lang ausgestellt und vor Ablauf verlängert.
Infrastruktur-Anbieter
- Zweck: Gibt Zertifikate für Plattform-Microservices und Dienst-zu-Dienst-APIs aus.
- Bereich: Interne Webhook-Dienste und andere Plattformworkloads.
- Drehung: Zertifikate werden automatisch gedreht. Diese Zertifikate werden in der Regel 70 Tage lang ausgestellt und vor Ablauf verlängert.
Szenarien für die Zertifikatverwendung
| Scenario | Emittent | Beispiel-Consumer | Vertrauensziel |
|---|---|---|---|
| Out-of-Band-Verwaltungszugriff | Schnittstelle | iDRAC-Konsolen, Speichergerätedashboards, Bruchglasschnittstellen | Bereitstellen von verschlüsselten und authentifizierten menschlichen Zugriffspfaden |
| Plattformsteuerung flugzeugverkehr | Infra | Admission-Webhook, Plattform-Mikrodienste | Sicherstellen der verschlüsselten Dienst-zu-Dienst-Kommunikation und gegenseitigen Authentifizierung |
Anzeigen von Zertifizierungsstellenzertifikaten und Hashes
Betreiber müssen häufig überprüfen, ob TLS-Endpunkte das korrekte Zertifikat der Zertifizierungsstelle und den erwarteten Fingerabdruck vorweisen. Azure Operator Nexus macht diese Informationen sowohl über das Azure-Portal als auch über die Azure CLI verfügbar.
Hinweis
Das Anzeigen der Metadaten eines Zertifikats einer Zertifizierungsstelle erfordert die Azure Operator Nexus-API-Version 2025-09-01 oder höher.
Ressourcen für Bare-Metal-Maschinen
Azure-Portal:
- Navigieren Sie zu Azure Operator Nexus > Bare Metal-Maschinen.
- Öffnen Sie die Zielressource "Bare Metal Machine".
- Wählen Sie JSON-Ansicht aus.
- Wählen Sie die API-Version 2025-09-01 oder höher aus.
- Überprüfen Sie den Zertifikatwert der Zertifizierungsstelle und den SHA-256-Hash des Ausstellers, der das aktive TLS-Zertifikat signiert hat.
Azure CLI:
az networkcloud baremetalmachine show \ --subscription <subscription> --resource-group <cluster-managed-resource-group> \ --name <bareMetalMachineName> \ --query "caCertificate" \ --output tsvDieser Befehl gibt das PEM-codierte Zertifizierungsstellenzertifikat zurück, das das aktuelle TLS-Zertifikat und seinen SHA-256-Hash (Fingerabdruck) für einen schnellen Vergleich mit vertrauenswürdigen Werten ausgestellt hat.
Speicher-Appliance-Ressourcen
Azure-Portal:
- Navigieren Sie zu Azure Operator Nexus > Storage Appliances.
- Öffnen Sie die Zielspeicher-Appliance-Ressource.
- Wählen Sie JSON-Ansicht aus.
- Wählen Sie die API-Version 2025-09-01 oder höher aus.
- Überprüfen Sie den Zertifikatwert der Zertifizierungsstelle und den SHA-256-Hash des Ausstellers, der das aktive TLS-Zertifikat signiert hat.
Azure CLI:
az networkcloud storageappliance show \ --subscription <subscription> --resource-group <cluster-managed-resource-group> \ --name <storageApplianceName> \ --query "caCertificate" \ --output tsv
Verwandte Inhalte
PKI ist eine Komponente der Azure Operator Nexus-Sicherheit. Das PKI-System arbeitet mit diesen Rotationsmechanismen für Anmeldeinformationen zusammen, um umfassende Authentifizierung und Verschlüsselung auf der gesamten Plattform bereitzustellen.