認証局バンドルの更新

Private Cloud Applianceの認証局(CA)バンドルがダウンロードされ、クラスタの作成時にクラスタで使用できるようになります。CAバンドルには、証明書、秘密キーと公開キー、およびその他の認可情報が含まれます。

CAバンドルは、通常の証明書ローテーションが発生したとき、またはPrivate Cloud Applianceがアップグレードされたときに自動的に更新されます。

アプライアンスでCAバンドルを更新する場合は、OKEサービスの管理に使用するローカルシステムでCAバンドルを更新する必要があります。たとえば、CAバンドルは、OCI CLIおよびAPI操作の使用を承認します。OCI CLIコマンドを実行できるように、~/.oci構成のCAバンドルを置き換えます。クラスタの場合、CAバンドルの更新は自動化されます。

プロセスは1時間ごとに実行され、OKEクラスタ内のCAバンドルの有効性をチェックし、アプライアンスでCAバンドルが更新されている場合はそのCAバンドルを更新します。

これらの時給チェックの間にCAバンドルを更新する必要がある場合は、プロセスを手動で実行できます。

1. root権限を持つシステム管理者としてPrivate Cloud Applianceの管理ノードにログインします。

2. OKEポッドの名前を取得します。

   次のコマンドは、okeネームスペース内のOKEポッドをリストします:

   # kubectl get pod -n oke -l app=oke

3. コマンドを実行して、CAバンドルを更新します。

   前述のステップのoke-uniqueIDポッド名の1つを使用します。

   # kubectl exec -it oke-6c4d85d6f-72fxs -n oke -c oke -- /usr/bin/pca-oke-cluster-tool

GrafanaのLokiログで、このプロセスを自動または手動で実行したときに発生した可能性のあるエラーを確認できます。Loki Logsを参照してください。