Atualizar o pacote de certificados em hosts de contêiner
Aplica-se ao: AKS no Azure Local 22H2, AKS no Windows Server
Um cluster do AKS precisa confiar em outros recursos locais, como o registro de contêiner. Este artigo descreve como adicionar uma cadeia de certificados de confiança (certificados raiz, intermediários e potenciais) com uma chave pública, para os pontos de extremidade em que o cluster deve confiar e permitir a comunicação. Os certificados são adicionados nos hosts do Linux.
Esse cenário usa uma versão modificada do comando de configurações noProxy.
Pré-requisitos e detalhes
- Uma implantação do AKS habilitada pelo Azure Arc executando a versão de outubro de 2022 ou posterior.
- Os certificados não estão disponíveis imediatamente ao executar o comando; eles são implantados na próxima atualização.
- Você pode verificar se há uma atualização disponível usando o cmdlet do PowerShell Get-AksHciClusterUpdates.
- Atualmente, não há nenhum comando para exibir, alterar ou excluir a atualização agendada. Depois que a atualização é aplicada, é possível inserir o SSH no host do contêiner e ver os certificados instalados e excluí-los.
Formato de certificado
- Os certificados devem ser especificados em um único arquivo .crt no formato PEM. Esse formato é aplicável à atualização de certificados em hosts de contêiner do Linux.
- É importante garantir que os certificados sejam adicionados na ordem certa em um único arquivo .crt. Por exemplo,
<.leaf.crt>
,<intermediate.crt>
,<root.crt>
. - O conteúdo do arquivo de certificado não é validado. Você deve garantir que o arquivo contenha os certificados corretos e esteja no formato correto.
Exemplo: criar um único pacote de certificados
Para hosts de Linux:
cat [leaf].crt [intermediate].crt [Root].crt > [your single cert file].crt
PowerShell:
$noProxy = "" # keep this as an empty string
$certFile ="/../[bundle].crt" # path to the bundled .crt file
Set-AksHciProxySetting -noProxy $noProxy -certFile $certFile