更新容器主機上的憑證套件組合
適用於:Azure Local 22H2 上的 AKS、Windows Server 上的 AKS
AKS 叢集必須信任其他內部部署資源,例如容器登錄。 本文說明如何為叢集預期信任並允許通訊的端點,新增具有公鑰的信任憑證鏈結(根憑證、中繼憑證和潛在客戶憑證)。 憑證會新增在Linux主機上。
此案例會使用 noProxy 設定 命令的修改版本。
必要條件和詳細數據
- 執行 2022 年 10 月版本或更新版本的 Azure Arc 部署所啟用的 AKS。
- 執行 命令時無法立即取得憑證;它們會在下一個更新上部署。
- 您可以使用 PowerShell Cmdlet Get-AksHciClusterUpdates來檢查是否有可用的更新。
- 目前沒有可檢視、變更或刪除排程更新的命令。 套用更新之後,就可以透過 SSH 連線到容器主機,並查看已安裝的憑證,然後加以刪除。
憑證格式
- 憑證應該以 PEM 格式的單一 .crt 檔案指定。 此格式適用於更新 Linux 容器主機上的憑證。
- 請務必確定憑證會以正確的順序新增至單一 .crt 檔案中。 例如,
<.leaf.crt>、<intermediate.crt><root.crt>。 - 憑證檔案的內容不會經過驗證。 您必須確定檔案包含正確的憑證,且格式正確。
範例:建立單一憑證套件組合
針對 Linux 主機:
cat [leaf].crt [intermediate].crt [Root].crt > [your single cert file].crt
PowerShell:
$noProxy = "" # keep this as an empty string
$certFile ="/../[bundle].crt" # path to the bundled .crt file
Set-AksHciProxySetting -noProxy $noProxy -certFile $certFile