Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Operator Nexus implementeert een PKI (Public Key Infrastructure) in een cluster. Elk cluster onderhoudt de zelfondertekende CA-hiërarchie (certificeringsinstantie) die de site nooit verlaat, zodat cryptografisch vertrouwen per implementatie wordt geïsoleerd. Deze isolatie minimaliseert de gevolgen van compromissen.
Overzicht van PKI-architectuur
- Vertrouwensgrens per cluster: Elk Azure Operator Nexus-exemplaar richt een onafhankelijke basis-CA in. Er is geen gedeelde CA tussen clusters en certificaten worden nooit opnieuw gebruikt tussen sites.
- Zelfstandige uitgifte: certificaatuitgifte en vernieuwing worden lokaal uitgevoerd in het Kubernetes-besturingsvlak. Certificaten worden niet aangevraagd bij externe of gecentraliseerde PKI-services.
- Doelspecifieke verleners: toegewezen tussenliggende verleners ondertekenen certificaten voor afzonderlijke workloads (door mensen beheerde consoles versus interne services) om het bevoegdheidsbereik te minimaliseren.
Met deze architectuur kunnen klanten werken in niet-verbonden of semi-verbonden omgevingen, terwijl ze de voordelen van TLS-verificatie, versleuteling tijdens overdracht en cryptografische controle behouden.
Certificaatbeheer met cert-manager
Azure Operator Nexus is afhankelijk van certificaatbeheer om de levenscyclus van certificaten te automatiseren:
- Verlenerobjecten worden gedefinieerd voor elk certificaatdoel (interfacetoegang, interne services en andere gespecialiseerde workloads).
- Certificaatbronnen vragen bladcertificaten aan van de juiste verlener, inclusief Subject Alternative Names (SAN's) die zijn vereist voor platformonderdelen.
- Vernieuwingsautomatisering wordt aangestuurd door certificaatbeheer, waarmee bladcertificaten worden vernieuwd voordat ze verlopen en transparant over het platform worden gedraaid.
- Geheime distributie naar pods en services wordt verwerkt via Kubernetes-geheimen en geprojecteerde volumes, zodat workloads altijd geldige certificaten presenteren.
Certificaatrotatie en levensduur
-
Automatische rotatie: certificaatbeheer vernieuwt certificaten voordat ze verlopen op basis van de
Certificateresource-instellingen (zoalsdurationenrenewBefore). - Standaardlevensduur van certificaten: de meeste TLS-certificaten van Azure Operator Nexus worden 70 dagen uitgegeven.
-
Uitzonderingen: sommige onderdelen gebruiken verschillende levensduurn.
- Etcd snapshotter: geeft server- en clientcertificaten met een levensduur van 1 jaar uit.
- Tokenservice: geeft de CA- en servercertificaten met een levensduur van 3 jaar uit.
- Verlengingsvenster: Certificaten worden doorgaans ongeveer 23 dagen vóór de vervaldatum verlengd.
Belangrijk
Als een TLS-certificaat verloopt, weigeren clients die TLS valideren de verbinding. Met sommige gebruikersgerichte hulpprogramma's kunt u validatie overslaan (bijvoorbeeld een doorklikken in de browser), maar platformservices vereisen validatie om ingeschakeld te blijven. Vernieuw het certificaat zodat workloads het bijgewerkte geheim ophalen.
Waarschuwing
iDRAC verwacht de levensduur van een certificaat van 60 dagen en genereert waarschuwingen als de vervaldatum bijna is verstreken. Dit verschilt van de levensduur van het platform van 70 dagen en wordt beoordeeld. Certificaatvernieuwing begint momenteel ongeveer 13 dagen voordat de verwachte vervaldatum van iDRAC is verstreken.
Omdat alle uitgifteprocessen zich in het cluster bevinden, behouden operators volledige controle over de vertrouwensstructuur zonder volledig afhankelijk te zijn van externe connectiviteit of services.
Hiërarchie van verleners
Twee primaire verleners worden per cluster geïmplementeerd om te voldoen aan de verschillende vertrouwensvereisten van door mensen beheerde interfaces en serviceworkloads.
Interfaceverstrekker
- Doel: Ondertekent TLS-certificaten die worden gebruikt door resourceinterfaces, waaronder bare metalcomputer BMC/iDRAC en eindpunten voor het beheer van opslagapparaten.
- Bereik: alleen certificaten voor beheereindpunten.
- Rotatie: certificaatbeheer verlengt interfacecertificaten voordat deze verloopt. Deze certificaten worden doorgaans 70 dagen uitgegeven en verlengd voordat ze verlopen.
Infrastructuuruitgever
- Doel: certificaten verlenen voor platformmicroservices en service-naar-service-API's.
- Bereik: Interne webhook-services en andere platformworkloads.
- Roulatie: Certificaten worden automatisch geroteerd. Deze certificaten worden doorgaans 70 dagen uitgegeven en verlengd voordat ze verlopen.
Scenario's voor certificaatgebruik
| Scenario | Issuer | Voorbeeldgebruikers | Vertrouwensdoelstelling |
|---|---|---|---|
| Toegang tot out-of-band-beheer | gebruikersinterface | iDRAC-consoles, dashboards van opslagapparaten, break-glass-interfaces | Versleutelde en geverifieerde menselijke toegangspaden bieden |
| Verkeer van het platformbesturingsvlak | Infra | toegangs-webhooks, platform-microservices | Zorg voor versleutelde service-naar-service-communicatie en wederzijdse verificatie |
CA-certificaten en -hashes weergeven
Operators moeten vaak controleren of TLS-eindpunten het verwachte CA-certificaat en de vingerafdruk presenteren. Azure Operator Nexus maakt deze informatie beschikbaar via zowel Azure Portal als Azure CLI.
Opmerking
Voor het weergeven van metagegevens van CA-certificaten is de API-versie van Azure Operator Nexus 2025-09-01 of hoger vereist.
Bare-metal-machinebronnen
Azure Portal:
- Navigeer naar Azure Operator Nexus > Bare-metalmachines.
- Open de doel-bare-metalmachineresource.
- Selecteer de JSON-weergave.
- Selecteer de API-versie 2025-09-01 of hoger.
- Controleer de CA-certificaatwaarde en de SHA-256-hash van de verlener die het actieve TLS-certificaat heeft ondertekend.
Azure CLI:
az networkcloud baremetalmachine show \ --subscription <subscription> --resource-group <cluster-managed-resource-group> \ --name <bareMetalMachineName> \ --query "caCertificate" \ --output tsvMet deze opdracht wordt het PEM-gecodeerde CA-certificaat geretourneerd dat het huidige TLS-certificaat en de BIJBEHORENDE SHA-256-hash (vingerafdruk) heeft uitgegeven voor snelle vergelijking met vertrouwde waarden.
Resources voor opslagapparaten
Azure Portal:
- Navigeer naar Azure Operator Nexus > Storage-apparaten.
- Open de resource van het doelopslagapparaat.
- Selecteer de JSON-weergave.
- Selecteer de API-versie 2025-09-01 of hoger.
- Controleer de CA-certificaatwaarde en de SHA-256-hash van de verlener die het actieve TLS-certificaat heeft ondertekend.
Azure CLI:
az networkcloud storageappliance show \ --subscription <subscription> --resource-group <cluster-managed-resource-group> \ --name <storageApplianceName> \ --query "caCertificate" \ --output tsv
Verwante inhoud
PKI is één onderdeel van azure Operator Nexus-beveiliging. Het PKI-systeem werkt met deze mechanismen voor referentierotatie om uitgebreide verificatie en versleuteling op het platform te bieden.