Alternando Credenciais do Cluster

Descubra como rotacionar as credenciais dos clusters que você criou usando o Container Engine for Kubernetes (OKE).

Para ativar a comunicação TLS segura (antigo SSL) de, para e dentro de clusters, o Kubernetes usa certificados PKI (Infraestrutura de Chave Pública) para autenticação. Para obter mais informações sobre certificados PKI e clusters do Kubernetes, consulte Certificados e requisitos PKI na documentação do Kubernetes.

Os clusters criados com o Container Engine for Kubernetes têm CAs raiz PKI (Autoridades de Certificação) e chaves privadas para o cluster, o componente etcd e o componente front-proxy. Essas CAs root são usadas para assinar os certificados e as chaves privadas usados no cluster. As CAs raiz, os certificados assinados e as chaves privadas usadas no cluster são coletivamente conhecidas como credenciais de cluster.

Nos clusters que você cria com o Container Engine for Kubernetes, as CAs raiz expiram após cinco anos. Para continuar usando um cluster, você precisa alterar (ou 'rotate') as credenciais do cluster antes do final do período de cinco anos. Além disso, sua organização pode ter diretrizes e políticas de segurança em vigor que exijam que você alterne as credenciais do cluster com mais frequência (em alguns casos, com muito mais frequência). As mensagens que informam sobre a expiração da futura credencial do cluster são mostradas na Console. Você também pode usar a Console, a CLI e a API para descobrir quando as credenciais do cluster expiram.

Quando você rotaciona credenciais de cluster, é necessário atualizar os clientes da API do Kubernetes que estavam usando as credenciais anteriores para se comunicar com a API do Kubernetes. Esses clientes da API do Kubernetes incluem arquivos kubeconfig e pods que se comunicam diretamente com a API do Kubernetes.

O giro das credenciais do cluster é um processo de três etapas:

• Etapa 1, Iniciar a fase de Rotação da Credencial: Durante a fase Iniciar Rotação da Credencial, novas CAs raiz, chaves privadas e certificados são criados. Você pode iniciar a fase Iniciar Rotação de Credencial a qualquer momento, mas deve iniciar a rotação da credencial antes que as credenciais expirem. Iniciar a rotação da credencial antes que as credenciais expirem também evitará a interrupção do serviço.

  Ao iniciar a fase Iniciar Rotação de Credencial, você especifica explicitamente a duração de um 'período de atraso' antes que a fase Concluir Rotação de Credencial seja iniciada automaticamente. O período de atraso permite atualizar clientes da API do Kubernetes (Etapa 2). Durante o período de atraso, as credenciais legadas e as novas credenciais fornecem comunicação segura para, de e dentro do cluster. Você pode especificar qualquer período de tempo para o período de atraso, até 14 dias. Você pode iniciar manualmente a fase Concluir Rotação de Credencial antes do final do período de atraso, desde que as novas credenciais tenham pelo menos 24 horas e você tenha concluído com sucesso a Etapa 2.

  Não inicie a Etapa 2 até que as novas CAs raiz, chaves privadas e certificados tenham sido criados.

  Observação
  
  Ao usar a CLI ou a API para iniciar a fase Iniciar Rotação de Credencial, especifique a duração do período de atraso no formato de duração ISO 8601. Por exemplo:

  • use P5D para especificar cinco dias
  • use PT5H para especificar cinco horas
  • use PT5M para especificar cinco minutos

  Para obter mais informações sobre o formato de duração ISO 8601, pesquise on-line.

• Etapa 2, Atualizar clientes da API do Kubernetes: Quando as novas CAs raiz, chaves privadas e certificados tiverem sido criados e dentro do período de atraso especificado (qualquer período, até 14 dias):
  • Configure novos arquivos kubeconfig para permitir o acesso ao cluster usando as novas credenciais e as credenciais legadas.
  • Recrie ou reinicie os nós de trabalho que hospedam pods que se comunicam diretamente com o Servidor de API do Kubernetes (ou para evitar interrupção nos nós de trabalho, basta reiniciar os próprios pods).

  Não inicie a Etapa 3 até que você tenha configurado novos arquivos kubeconfig e tenha recriado ou reiniciado nós de trabalho (ou simplesmente reiniciado os pods).

• Etapa 3, Iniciar a fase Concluir Rotação de Credencial: Quando terminar a Etapa 2 e, dentro do período de atraso especificado (qualquer período, até 14 dias), você poderá iniciar manualmente a fase Concluir Rotação de Credencial. Durante a fase de Rotação Completa de Credenciais, as CAs raiz legadas, as chaves privadas e os certificados são retirados e removidos. Inicie a fase Concluir Rotação da Credencial 24 horas depois de iniciar a fase Iniciar Rotação da Credencial e somente depois de concluir a etapa 2. Desde que as novas credenciais tenham pelo menos 24 horas, você poderá iniciar a fase de Rotação Completa de Credenciais assim que estiver pronto.

  Se você não iniciar manualmente a fase Concluir Rotação de Credencial durante o período de atraso especificado (qualquer período, até 14 dias), a fase Concluir Rotação de Credencial será iniciada automaticamente no final do período de atraso.

  Quando a fase Concluir Rotação de Credenciais estiver concluída, recomendamos substituir qualquer arquivo kubeconfig criado durante a etapa 2 (que conterá credenciais legadas e novas credenciais) por um novo arquivo kubeconfig contendo apenas as novas credenciais.

A fase Iniciar Rotação de Credenciais e a fase Concluir Rotação de Credenciais são criadas como solicitações de serviço separadas. Para rastrear o andamento da fase Iniciar Rotação de Credencial e Concluir Rotação de Credencial, exiba o status da solicitação de serviço correspondente. Consulte Exibindo Solicitações de Serviço.

Você pode rotacionar credenciais de cluster usando a Console, a CLI e a API.

Observe o seguinte ao rotacionar credenciais do cluster:

• Basta fazer upgrade da versão do Kubernetes no plano de controle de cluster não rotacionar credenciais. Você precisa concluir todas as etapas no processo de rotação da credencial.
• A fase Iniciar Rotação da Credencial e a fase Concluir Rotação da Credencial só podem começar quando todos os nós de trabalho do cluster tiverem um status READY. Se o status de um ou mais nós de trabalho for alterado para NOT READY durante a rotação da credencial, as operações de rotação da credencial serão pausadas por até 24 horas, aguardando que todos os nós tenham novamente o status READY antes de retomar. Se um ou mais nós de trabalho ainda tiverem o status NOT READY após 24 horas, o tempo limite das operações de rotação da credencial.
• Se a fase Iniciar Rotação da Credencial ou a fase Concluir Rotação da Credencial falhar por algum motivo, as credenciais legadas continuarão a funcionar e não serão retiradas até expirarem.
• Se você não iniciar manualmente a fase Concluir Rotação de Credencial dentro do período de atraso especificado (qualquer período, até 14 dias), a fase Concluir Rotação de Credencial será iniciada automaticamente. Se você não tiver atualizado os clientes da API do Kubernetes antes do final do período de atraso, o cluster sofrerá interrupção do serviço.
• A rotação de credenciais é suportada para clusters com nós gerenciados e para clusters com nós autogerenciados. A rotação da credencial ainda não é suportada para clusters com nós virtuais.