automation-suite
2022.4
false
- Überblick
- Anforderungen
- Installation
- Fragen und Antworten: Bereitstellungsvorlagen
- Herunterladen der Installationspakete
- install-uipath.sh-Parameter
- Aktivieren eines High Availability Add-ons für den Cluster
- Document Understanding-Konfigurationsdatei
- Hinzufügen eines dedizierten Agent-Knotens mit GPU-Unterstützung
- Verbinden einer Task Mining-Anwendung
- Hinzufügen eines dedizierten Agent-Knotens für Task Mining
- Nach der Installation
- Zugreifen auf die Automation Suite
- Verwalten der Zertifikate
- Ändern der PVC-Größe
- Aktualisieren der SQL-Verbindungszeichenfolgen
- Clusterverwaltung
- Verwalten von Produkten
- Verwalten des Clusters in ArgoCD
- Einrichten des externen NFS-Servers
- Automatisiert: Aktivieren der Sicherung im Cluster
- Automatisiert: Deaktivieren der Clustersicherung
- Automatisiert, online: Wiederherstellen des Clusters
- Automatisiert, offline: Wiederherstellen des Clusters
- Manuell: Aktivieren der Clustersicherung
- Manuell: Deaktivieren der Clustersicherung
- Manuell, online: Wiederherstellen des Clusters
- Manuell, offline: Wiederherstellen des Clusters
- Zusätzliche Konfiguration
- Migrieren von Objectstore von persistentem Volume zu Raw-Festplatten
- Überwachung und Warnungen
- Migration und Upgrade
- Migrationsoptionen
- Schritt 1: Verschieben der Identitätsorganisationsdaten von einer eigenständigen in die Automation Suite
- Schritt 2: Wiederherstellen der eigenständigen Produktdatenbank
- Schritt 3: Sichern der Plattformdatenbank in der Automation Suite
- Schritt 4: Zusammenführen von Organisationen in der Automation Suite
- Schritt 5: Aktualisieren der migrierten Produktverbindungszeichenfolgen
- Schritt 6: Migrieren von eigenständigen Insights
- Schritt 7: Löschen des Standardmandanten
- B) Migration von einzelnen Mandanten
- Produktspezifische Konfiguration
- Best Practices und Wartung
- Fehlersuche und ‑behebung
- Fehlerbehebung bei Diensten während der Installation
- Deinstallieren des Clusters
- Löschen von Offline-Artefakten für mehr Speicherplatz
- So löschen Sie Redis-Daten
- So können Sie die Istio-Protokollierung aktivieren
- So werden Protokolle manuell bereinigt
- So löschen Sie alte Protokolle, die im sf-logs-Bucket gespeichert sind
- So deaktivieren Sie Streaming-Protokolle für das AI Center
- Fehlerbehebung bei fehlgeschlagenen Automation Suite-Installationen
- So löschen Sie Bilder aus dem alten Installationsprogramm nach dem Upgrade
- Automatisches Bereinigen von Longhorn-Snapshots
- Deaktivieren von TX-Prüfsummen-Offloading
- Umgang mit schwachen Verschlüsselungen in TLS 1.2
- Es kann keine Offlineinstallation auf RHEL 8.4 OS ausgeführt werden.
- Fehler beim Herunterladen des Pakets
- Die Offlineinstallation schlägt aufgrund fehlender binärer Dateien fehl
- Zertifikatproblem bei der Offlineinstallation
- Die erste Installation schlägt während des Longhorn-Setups fehl
- Validierungsfehler bei der SQL-Verbindungszeichenfolge
- Voraussetzungsprüfung für das Selinux-iscsid-Modul schlägt fehl
- Azure-Datenträger nicht als SSD markiert
- Fehler nach der Zertifikatsaktualisierung
- Automation Suite funktioniert nach Betriebssystem-Upgrade nicht
- Für die Automation Suite muss Backlog_wait_time festgelegt werden 1
- Volume nicht bereitstellbar, da es nicht für Workloads bereit ist
- RKE2 schlägt während der Installation und Aktualisierung fehl
- Fehler beim Hoch- oder Herunterladen von Daten im Objektspeicher
- Die Größenänderung eines PVC bewirkt keine Korrektur von Ceph
- Fehler beim Ändern der Größe von objectstore PVC
- Rook Ceph oder Looker-Pod hängen im Init-Status fest
- Fehler beim Anhängen eines StatefulSet-Volumes
- Fehler beim Erstellen persistenter Volumes
- Patch zur Rückgewinnung von Speicherplatz
- Sicherung aufgrund des Fehlers „TooManySnapshots“ fehlgeschlagen
- Alle Longhorn-Replikate sind fehlerhaft
- Festlegen eines Timeout-Intervalls für die Verwaltungsportale
- Aktualisieren Sie die zugrunde liegenden Verzeichnisverbindungen
- Anmeldung nach der Migration nicht mehr möglich
- Kinit: KDC kann für Realm <AD Domain> beim Abrufen der ersten Anmeldeinformationen nicht gefunden werden
- Kinit: Keytab enthält keine geeigneten Schlüssel für *** beim Abrufen der ersten Anmeldeinformationen
- Der GSSAPI-Vorgang ist mit Fehler fehlgeschlagen: Es wurde ein ungültiger Statuscode übermittelt (Die Anmeldeinformationen des Clients wurden widerrufen).
- Alarm für fehlgeschlagenen Kerberos-tgt-update-Auftrag empfangen
- SSPI-Anbieter: Server nicht in Kerberos-Datenbank gefunden
- Die Anmeldung ist für den Benutzer <ADDOMAIN><aduser> fehlgeschlagen. Grund: Das Konto ist deaktiviert.
- ArgoCD-Anmeldung fehlgeschlagen
- Fehler beim Abrufen des Sandbox-Abbilds
- Pods werden nicht in der ArgoCD-Benutzeroberfläche angezeigt
- Redis-Testfehler
- RKE2-Server kann nicht gestartet werden
- Secret nicht im UiPath-Namespace gefunden
- Nach der ersten Installation wechselte ArgoCD in den Status „Progressing“.
- MongoDB-Pods in „CrashLoopBackOff“ oder ausstehende PVC-Bereitstellung nach Löschung
- UNERWARTETE INKONSISTENZ; fsck MANUELL AUSFÜHREN
- Herabgestufte MongoDB- oder Geschäftsanwendungen nach der Clusterwiederherstellung
- Self-heal-operator und Sf-k8-utils-Repository fehlen
- Fehlerhafte Dienste nach Clusterwiederherstellung oder Rollback
- RabbitMQ-Pod bleibt in CrashLoopBackOff hängen
- Prometheus im Zustand „CrashloopBackoff“ mit OOM-Fehler (Out-of-Memory)
- Fehlende Ceph-rook-Metriken in Überwachungs-Dashboards
- Pods können nicht mit FQDN in einer Proxy-Umgebung kommunizieren
- Document Understanding erscheint nicht auf der linken Leiste der Automation Suite
- Fehlerstatus beim Erstellen einer Datenbeschriftungssitzung
- Fehlerstatus beim Versuch, eine ML-Fähigkeit bereitzustellen
- Migrationsauftrag schlägt in ArgoCD fehl
- Die Handschrifterkennung mit dem Intelligent Form Extractor funktioniert nicht oder arbeitet zu langsam
- Verwenden des Automation Suite-Diagnosetools
- Verwenden des Automation Suite-Supportpakets
- Erkunden von Protokollen
Wichtig :
Bitte beachten Sie, dass dieser Inhalt teilweise mithilfe von maschineller Übersetzung lokalisiert wurde.
Es kann 1–2 Wochen dauern, bis die Lokalisierung neu veröffentlichter Inhalte verfügbar ist.
Automation Suite-Installationsanleitung
Letzte Aktualisierung 17. März 2025
Wichtig: Bei der Installation werden selbstsignierte Zertifikate in Ihrem Namen erstellt. Diese Zertifikate laufen in 90 Tagen ab und Sie müssen sie durch Zertifikate ersetzen, die von einer vertrauenswürdigen Zertifizierungsstelle signiert wurden, sobald die Installation abgeschlossen ist. Wenn Sie die Zertifikate nicht aktualisieren, funktioniert die Installation nach 90 Tagen nicht mehr.
Das Installationspaket bietet ein Clusterverwaltungstool, mit dem Sie Zertifikate nach der Installation aktualisieren können. Um auf das Tool zuzugreifen, navigieren Sie zum Speicherort des Installationspakets:
cd /opt/UiPathAutomationSuite/cd /opt/UiPathAutomationSuite/Führen Sie den folgenden Befehl aus, um die CSR und den privaten Schlüssel zu generieren:
# copy the machine openssl configuration locally
cp /etc/pki/tls/openssl.cnf ./openssl.tmp.cnf
# Replace the [AUTOMATION_SUITE_FQDN] value. For example, "automationsuite.corp.com"
AS_FQDN=[AUTOMATION_SUITE_FQDN]
cat >> ./openssl.tmp.cnf <<EOF
[SAN]
subjectAltName=DNS:$AS_FQDN,DNS:alm.$AS_FQDN,DNS:monitoring.$AS_FQDN,DNS:registry.$AS_FQDN,DNS:objectstore.$AS_FQDN,DNS:insights.$AS_FQDN
EOF
# create the certificate request
openssl req -new -sha256 -newkey rsa:2048 -nodes -keyout server.key -subj "/C=xx/ST=xx/O=xx/OU=xx/CN=$AS_FQDN" -reqexts SAN -config openssl.tmp.cnf -out ${AS_FQDN}.csr# copy the machine openssl configuration locally
cp /etc/pki/tls/openssl.cnf ./openssl.tmp.cnf
# Replace the [AUTOMATION_SUITE_FQDN] value. For example, "automationsuite.corp.com"
AS_FQDN=[AUTOMATION_SUITE_FQDN]
cat >> ./openssl.tmp.cnf <<EOF
[SAN]
subjectAltName=DNS:$AS_FQDN,DNS:alm.$AS_FQDN,DNS:monitoring.$AS_FQDN,DNS:registry.$AS_FQDN,DNS:objectstore.$AS_FQDN,DNS:insights.$AS_FQDN
EOF
# create the certificate request
openssl req -new -sha256 -newkey rsa:2048 -nodes -keyout server.key -subj "/C=xx/ST=xx/O=xx/OU=xx/CN=$AS_FQDN" -reqexts SAN -config openssl.tmp.cnf -out ${AS_FQDN}.csrIhr IT-Team verwendet die erhaltenen Werte, um ein signiertes Zertifikat zu generieren. Der generierte private Schlüssel bleibt lokal.
Um weitere Informationen zu Serverzertifikaten anzuzeigen, führen Sie den folgenden Befehl aus:
sudo ./configureUiPathAS.sh tls-cert --helpsudo ./configureUiPathAS.sh tls-cert --helpAusgabe:
************************************************************************************
Manage cluster tls and server certificate
Usage:
configureUiPathAS.sh tls-cert [command]
configureUiPathAS.sh tls-cert [flags]
Available Commands:
update Update the tls / server certificate
get Get the tls / server certificate
Flags:
-h|--help Display help
************************************************************************************************************************************************************************
Manage cluster tls and server certificate
Usage:
configureUiPathAS.sh tls-cert [command]
configureUiPathAS.sh tls-cert [flags]
Available Commands:
update Update the tls / server certificate
get Get the tls / server certificate
Flags:
-h|--help Display help
************************************************************************************In den folgenden Abschnitten werden die Vorgänge beschrieben, die Sie mit dem Befehl
./configureUiPathAS.sh tls-cert ausführen können.
Aktualisieren der Clusterzertifikate
Online-Installation: So finden Sie das Serverzertifikat
Zertifikate werden als Geheimnis auf Istio-Ebene gespeichert. Zertifikate finden Sie unter dem Namen
istio-ingressgateway-certs im Namespace istio-system .
Sehen Sie sich die Zertifikatsdateien in der folgenden Liste an:
- Das Server-TLS-Zertifikat wird als
tls.crtgespeichert. - Privater Server-TLS-Schlüssel als
tls.key - CA-Paket wird als
ca.crtgespeichert.
Sie können die Geheimnisse mit dem folgenden Befehl überprüfen:
kubectl -n istio-system get secrets istio-ingressgateway-certs -o yamlkubectl -n istio-system get secrets istio-ingressgateway-certs -o yamlZertifikate werden auch im UiPath-Namespace gespeichert. Das gilt für jedes UiPath®-Produkt, das Zertifikatinformationen benötigt, um eingehenden Aufrufen zu vertrauen. Weitere Informationen finden Sie unter Grundlegendes zur Containerarchitektur bezüglich Zertifikaten.
Offlineinstallation: So finden Sie das Serverzertifikat
Zusätzlich zu den Zertifikaten, die für die Onlinebereitstellung erforderlich sind, gibt es bei einer Offlinebereitstellung zwei weitere Speicherorte, die die gleiche
rootCA.crt und tls.crtverwenden: ArgoCD und Docker-Registrierung. Die Zertifikate werden dann sowohl im Docker- als auch im ArgoCD-Namespace gespeichert.
Sie können die Geheimnisse mit dem folgenden Befehl überprüfen:
# For docker registry
kubectl -n docker-registry get secrets docker-registry-tls -o yaml
# For Argocd
argocd login alm.cluster_fqnd --username argocd_username --password argocd_password
argocd cert list --cert-type https# For docker registry
kubectl -n docker-registry get secrets docker-registry-tls -o yaml
# For Argocd
argocd login alm.cluster_fqnd --username argocd_username --password argocd_password
argocd cert list --cert-type httpsSo aktualisieren Sie Serverzertifikate
Wichtig: Sie müssen den Zertifikatschlüssel entschlüsseln, bevor Sie das Serverzertifikat aktualisieren. Das Überspringen des Entschlüsselungsschritts würde zu einem Fehler führen.
Führen Sie den folgenden Befehl aus, um den Zertifikatschlüssel zu entschlüsseln:
# replace /path/to/encrypted/cert/key to absolute file path of key
# replace /path/to/decrypt/cert/key to store decrypt key
# Once prompted, please entry the passphrase or password to decrypt the key
openssl rsa -in /path/to/encrypted/cert/key -out /path/to/decrypt/cert/key# replace /path/to/encrypted/cert/key to absolute file path of key
# replace /path/to/decrypt/cert/key to store decrypt key
# Once prompted, please entry the passphrase or password to decrypt the key
openssl rsa -in /path/to/encrypted/cert/key -out /path/to/decrypt/cert/keyFühren Sie das
configureUiPathAS.sh-Skript aus, um das Zertifikat wie unten gezeigt anzupassen. Sie benötigen den Pfad zu jeder der drei Zertifikatsdateien. Alle Zertifikatsdateien müssen das Format PEM haben.
- Zertifizierungsstellenpaket – Dieses Paket sollte nur die Kettenzertifikate enthalten, die zum Signieren des TLS-Serverzertifikats verwendet werden. Das Kettenlimit beträgt bis zu neun Zertifikate.
- Serverzertifikat – Öffentliches Serverzertifikat
-
Privater Schlüssel – Privater Schlüssel für das Serverzertifikat
sudo ./configureUiPathAS.sh tls-cert update --ca-cert-file /path/to/cacert --tls-cert-file /path/to/tlscert --tls-key-file /path/to/tlskeysudo ./configureUiPathAS.sh tls-cert update --ca-cert-file /path/to/cacert --tls-cert-file /path/to/tlscert --tls-key-file /path/to/tlskey
Die folgenden Dateien werden unter
/directory/path/to/store/certificate gespeichert.
Zugriff auf das TLS-Zertifikat
Zum Ausgeben der Zertifikatsdateien führen Sie den folgenden Befehl aus, wobei Sie das Verzeichnis angeben, in dem die Zertifikate gespeichert sind.
sudo ./configureUiPathAS.sh tls-cert get --outpath /directory/path/to/store/certificatesudo ./configureUiPathAS.sh tls-cert get --outpath /directory/path/to/store/certificateHinzufügen des Zertifizierungsstellenzertifikats zum Host-Truststore
Sie sind dafür verantwortlich, sicherzustellen, dass die generierten Zertifikate vertrauenswürdig sind.
Um das Zertifikat zum Host-VM-Truststore hinzuzufügen, führen Sie die folgenden Befehle auf allen Knoten im Cluster aus:
# 1. Copy the certificate file to the /usr/share/pki/ca-trust-source/anchors/ or the /etc/pki/ca-trust/source/anchors/ directory
cp /path/to/the/ca-cert /usr/share/pki/ca-trust-source/anchors/
# 2. Update the trust store configuration
update-ca-trust# 1. Copy the certificate file to the /usr/share/pki/ca-trust-source/anchors/ or the /etc/pki/ca-trust/source/anchors/ directory
cp /path/to/the/ca-cert /usr/share/pki/ca-trust-source/anchors/
# 2. Update the trust store configuration
update-ca-trustUm weitere Informationen über zusätzliche Zertifikate von Zertifizierungsstellen anzuzeigen, führen Sie den folgenden Befehl aus:
./configureUiPathAS.sh additional-ca-certs --help./configureUiPathAS.sh additional-ca-certs --helpAusgabe:
***************************************************************************************
Manage additional CA certificates, this can be used to add sql server CA
Usage:
configureUiPathAS.sh additional-ca-certs [command]
configureUiPathAS.sh additional-ca-certs [flags]
Available Commands:
update Update the additional trusted CA certificates.
get Get the additional trusted CA certificates
Flags:
-h|--help Display help
******************************************************************************************************************************************************************************
Manage additional CA certificates, this can be used to add sql server CA
Usage:
configureUiPathAS.sh additional-ca-certs [command]
configureUiPathAS.sh additional-ca-certs [flags]
Available Commands:
update Update the additional trusted CA certificates.
get Get the additional trusted CA certificates
Flags:
-h|--help Display help
***************************************************************************************In den folgenden Abschnitten werden die Vorgänge beschrieben, die Sie mit dem Befehl
./configureUiPathAS.sh additional-ca-certs ausführen können.
Aktualisieren der Zertifikate von Zertifizierungsstellen
Mit diesem Befehl können Sie die vorhandenen konfigurierten Zertifizierungsstellenzertifikate aktualisieren oder ersetzen.
./configureUiPathAS.sh additional-ca-certs update --ca-cert-file /path/to/ca/certs./configureUiPathAS.sh additional-ca-certs update --ca-cert-file /path/to/ca/certsHinweis:
Der obige Befehl fügt der Liste vorhandener Zertifikate ein neues Zertifikat hinzu. Wenn Sie alle zuvor konfigurierten Zertifikate ersetzen möchten, müssen Sie
--replace am Ende anhängen.
Die Zertifikatspaketdatei von der Zertifizierungsstelle muss in einem gültigen
.pem-Format sein und kann mehr als ein Zertifikat enthalten.
Zugriff auf das Zertifikat von einer Zertifizierungsstelle
Um die bereits konfigurierten Zertifikate von Zertifizierungsstellen herunterzuladen, führen Sie den folgenden Befehl aus:
./configureUiPathAS.sh additional-ca-certs get --outpath /path/to/download/certs./configureUiPathAS.sh additional-ca-certs get --outpath /path/to/download/certsHinzufügen des Zertifizierungsstellenzertifikats zum Host-Truststore
Sie sind dafür verantwortlich, sicherzustellen, dass die generierten Zertifikate vertrauenswürdig sind.
Um das Zertifikat zum Host-VM-Truststore hinzuzufügen, führen Sie die folgenden Befehle auf allen Knoten im Cluster aus:
# 1. Copy the certificate file to the /usr/share/pki/ca-trust-source/anchors/ or the /etc/pki/ca-trust/source/anchors/ directory
cp /path/to/the/ca-cert /usr/share/pki/ca-trust-source/anchors/
# 2. Update the trust store configuration
update-ca-trust# 1. Copy the certificate file to the /usr/share/pki/ca-trust-source/anchors/ or the /etc/pki/ca-trust/source/anchors/ directory
cp /path/to/the/ca-cert /usr/share/pki/ca-trust-source/anchors/
# 2. Update the trust store configuration
update-ca-trustUm weitere Informationen zu Identitätstoken-Signaturzertifikaten anzuzeigen, führen Sie den folgenden Befehl aus:
sudo ./configureUiPathAS.sh identity token-cert --helpsudo ./configureUiPathAS.sh identity token-cert --helpAusgabe:
************************************************************************************
Manage Identity token signing certificate
Usage:
configureUiPathAS.sh identity token-cert [command]
configureUiPathAS.sh identity token-cert [flags]
Available Commands:
update Update secondary certificate to signing
the authentication token
rotate Switch secondary certificate as a primary
token signing certificate
get Get token signing certificate
Flags:
-h|--help Display help
************************************************************************************************************************************************************************
Manage Identity token signing certificate
Usage:
configureUiPathAS.sh identity token-cert [command]
configureUiPathAS.sh identity token-cert [flags]
Available Commands:
update Update secondary certificate to signing
the authentication token
rotate Switch secondary certificate as a primary
token signing certificate
get Get token signing certificate
Flags:
-h|--help Display help
************************************************************************************Der folgende Abschnitt enthält Details zu den Vorgängen, die Sie mit dem Befehl
./configureUiPathAS.sh identity token-cert ausführen können.
Aktualisieren des Zertifikats
Mit dem folgenden Befehl wird das neue Zertifikat zum Signieren des Tokens hochgeladen. Beachten Sie, dass es das bestehende Tokensignaturzertifikat nicht ersetzt. Das Zertifikat muss im pkcs12-Format mit der Erweiterung
.pfx vorliegen.
Hinweis: Stellen Sie sicher, dass der Wert, den Sie für das Flag
--password angeben, zwischen einfachen Anführungszeichen steht. Beispiel: --password 'CertificatePassword!@#'.
sudo ./configureUiPathAS.sh identity token-cert update --cert-file-path /path/to/cert --password '<cert_pass>'sudo ./configureUiPathAS.sh identity token-cert update --cert-file-path /path/to/cert --password '<cert_pass>'Rotieren des Zertifikats
Dadurch wird das alte Zertifikat mit dem neuen, das mit dem Aktualisierungszertifikat hochgeladen wurde, rotiert oder ausgetauscht.
sudo ./configureUiPathAS.sh identity token-cert rotatesudo ./configureUiPathAS.sh identity token-cert rotateHinweis:
Die Vorlaufzeit zwischen der Zertifikat-Aktualisierung und dem Rotieren sollte etwa 24 bis 48 Stunden betragen.
Wir benötigen diese Vorlaufzeit, um die Authentifizierung für zwischengespeicherte Token, die von einem alten Zertifikat signiert wurden, weiterhin unterstützen zu können.
Wenn Sie das Zertifikat zu früh vor dem Ablauf des Cache-Tokens rotieren, kann dies zu Ausfallzeiten führen. Möglicherweise müssen Sie dann auch alle Ihre Roboter neu starten.
Notfallzertifikatrotation
Wichtig: Das folgende Verfahren gilt nur für Notfälle. Sie sollten Zertifikate vor ihrem Ablaufdatum rotieren
Führen Sie die folgenden Schritte aus, um eine Notfall-Zertifikatsaktualisierung durchzuführen:
Zugreifen auf das Zertifikat
Führen Sie den folgenden Befehl aus, um das aktuelle Tokensignaturzertifikat herunterzuladen:
sudo ./configureUiPathAS.sh identity token-cert get --outpath /directory/path/to/store/certificatesudo ./configureUiPathAS.sh identity token-cert get --outpath /directory/path/to/store/certificateStandardmäßig laufen RKE2-Zertifikate in 12 Monaten ab. In den 90 Tagen vor ihrem Ablaufdatum werden Zertifikate rotiert, wenn Sie RKE2 neu starten.
Weitere Informationen finden Sie unter RKE2 – Erweiterte Optionen – Zertifikatsrotation.
Überprüfen des Ablaufdatums des RKE2-Zertifikats
Um das Ablaufdatum des RKE2-Zertifikats zu überprüfen, führen Sie den folgenden Befehl auf einem der Knoten aus:
if [[ -d "/var/lib/rancher/rke2/server/tls" ]]; then
dir="/var/lib/rancher/rke2/server/tls"
elif [[ -d "/var/lib/rancher/rke2/agent/tls" ]]; then
dir="/var/lib/rancher/rke2/agent/tls"
else
dir="/var/lib/rancher/rke2/agent/"
fi
# Loop through each .crt file in the directory
for file in "$dir"/*.crt; do
# Extract the expiry date from the certificate
expiry=$(openssl x509 -enddate -noout -in "$file" | cut -d= -f 2-)
# Get the file name without the path
filename=$(basename "$file")
# Print the filename and expiry date in a pretty format
printf "%-30s %s\n" "$filename:" "$expiry"
doneif [[ -d "/var/lib/rancher/rke2/server/tls" ]]; then
dir="/var/lib/rancher/rke2/server/tls"
elif [[ -d "/var/lib/rancher/rke2/agent/tls" ]]; then
dir="/var/lib/rancher/rke2/agent/tls"
else
dir="/var/lib/rancher/rke2/agent/"
fi
# Loop through each .crt file in the directory
for file in "$dir"/*.crt; do
# Extract the expiry date from the certificate
expiry=$(openssl x509 -enddate -noout -in "$file" | cut -d= -f 2-)
# Get the file name without the path
filename=$(basename "$file")
# Print the filename and expiry date in a pretty format
printf "%-30s %s\n" "$filename:" "$expiry"
doneDie Ausgabe, die Sie erhalten, sollte in etwa so aussehen wie im folgenden Bild:
Rotieren des RKE2-Zertifikats
Standardmäßig laufen RKE2-Zertifikate in 12 Monaten ab. In den 90 Tagen vor ihrem Ablaufdatum werden Zertifikate rotiert, wenn Sie RKE2 neu starten. Wenn die Gültigkeit der Zertifikate jedoch den Zeitraum von 90 Tagen überschreitet, müssen Sie die Zertifikate manuell rotieren, indem Sie die unter RKE2 – Erweiterte Optionen – Zertifikatsrotation genannten Schritte ausführen.
Wenn Sie den Ablaufzeitpunkt von RKE2-Zertifikaten an bestimmte Anforderungen anpassen möchten, ist dies möglich, bevor Sie die RKE2-Dienste für Server- und Agent-Knoten neu starten.
Um die RKE2-Zertifikate zu rotieren, müssen Sie zuerst eine Reihe von Aktionen auf den Serverknoten ausführen und dann mit einigen Schritten für die Agent-Knoten fortfahren.
Führen Sie die folgenden Schritte auf den Serverknoten aus:
- Stoppen Sie den RKE2-Server:
systemctl stop rke2-server.servicesystemctl stop rke2-server.service - Löschen Sie alle verbleibenden RKE2-Prozesse:
rke2-killall.shrke2-killall.sh - Löschen Sie die Datei
dynamic-cert.jsonunter/var/lib/rancher/rke2/server/tls/. -
Um den Ablaufzeitraum der RKE2-Zertifikate anzupassen, verwenden Sie den folgenden Befehl. Beachten Sie, dass in diesem Beispiel der Gültigkeitszeitraum auf 1000 Tage festgelegt wird, Sie können diesen Wert jedoch basierend auf Ihren Anforderungen ändern.
SERVICE_NAME="rke2-server.service" conf_file_path="/etc/systemd/system/${SERVICE_NAME}.d/cert.conf" mkdir -p /etc/systemd/system/"${SERVICE_NAME}".d/ cat > "$conf_file_path" <<EOF [Service] Environment="CATTLE_NEW_SIGNED_CERT_EXPIRATION_DAYS=1000" EOF systemctl daemon-reloadSERVICE_NAME="rke2-server.service" conf_file_path="/etc/systemd/system/${SERVICE_NAME}.d/cert.conf" mkdir -p /etc/systemd/system/"${SERVICE_NAME}".d/ cat > "$conf_file_path" <<EOF [Service] Environment="CATTLE_NEW_SIGNED_CERT_EXPIRATION_DAYS=1000" EOF systemctl daemon-reload - Starten Sie den RKE2-Server neu:
systemctl start rke2-server.servicesystemctl start rke2-server.serviceHinweis: Wenn der Cluster über mehrere Serverknoten verfügt, werden die Schritte 1–4 möglicherweise nicht vollständig ausgeführt, da etcd den Ringalgorithmus eventuell nicht abschließen kann. Wiederholen Sie in diesem Fall die Schritte 1–4 auf anderen Serverknoten. - Löschen Sie das Geheimnis
rke2-servingaus dem Namespacekube-system:kubectl delete secret -n kube-system rke2-servingkubectl delete secret -n kube-system rke2-servingHinweis:Bei einer Bereitstellung mit mehreren Knoten können Sie diekubectl-Befehle möglicherweise erst ausführen, wenn Sie die ersten vier Vorgänge auf der erforderlichen Anzahl von Serverknoten abgeschlossen haben. Damit wird die Quorum-Anforderung von etcd erfüllt. Sie können das Geheimnisrke2-servingsofort nach dem Start des RKE2-Servers entfernen.
kubectl get nodes sollte dann erfolgreich ausgeführt werden. Wenn Ihre Serverknoten bereit sind, können Sie mit den Agent-Knoten fortfahren, um die Zertifikate neu zu generieren.
Führen Sie die folgenden Schritte auf den Agent-Knoten aus:
- Stoppen Sie den RKE2-Server:
systemctl stop rke2-agent.servicesystemctl stop rke2-agent.service - Löschen Sie alle verbleibenden RKE2-Prozesse:
rke2-killall.shrke2-killall.sh -
Um den Ablaufzeitraum der RKE2-Zertifikate anzupassen, verwenden Sie den folgenden Befehl. Beachten Sie, dass in diesem Beispiel der Gültigkeitszeitraum auf 1000 Tage festgelegt wird, Sie können diesen Wert jedoch basierend auf Ihren Anforderungen ändern.
SERVICE_NAME="rke2-agent.service" conf_file_path="/etc/systemd/system/${SERVICE_NAME}.d/cert.conf" mkdir -p /etc/systemd/system/"${SERVICE_NAME}".d/ cat > "$conf_file_path" <<EOF [Service] Environment="CATTLE_NEW_SIGNED_CERT_EXPIRATION_DAYS=1000" EOF systemctl daemon-reloadSERVICE_NAME="rke2-agent.service" conf_file_path="/etc/systemd/system/${SERVICE_NAME}.d/cert.conf" mkdir -p /etc/systemd/system/"${SERVICE_NAME}".d/ cat > "$conf_file_path" <<EOF [Service] Environment="CATTLE_NEW_SIGNED_CERT_EXPIRATION_DAYS=1000" EOF systemctl daemon-reload - Starten Sie den RKE2-Server neu:
systemctl start rke2-agent.servicesystemctl start rke2-agent.service
- Generieren einer Certificate Signing Request (CSR) und eines privaten Schlüssels
- Verwalten von Serverzertifikaten
- Aktualisieren der Clusterzertifikate
- Zugriff auf das TLS-Zertifikat
- Hinzufügen des Zertifizierungsstellenzertifikats zum Host-Truststore
- Verwalten zusätzlicher Zertifikate von Zertifizierungsstellen
- Aktualisieren der Zertifikate von Zertifizierungsstellen
- Zugriff auf das Zertifikat von einer Zertifizierungsstelle
- Hinzufügen des Zertifizierungsstellenzertifikats zum Host-Truststore
- Verwalten von Identitätstoken-Signaturzertifikaten
- Aktualisieren des Zertifikats
- Rotieren des Zertifikats
- Notfallzertifikatrotation
- Zugreifen auf das Zertifikat
- Verwalten von RKE2-Zertifikaten
- Überprüfen des Ablaufdatums des RKE2-Zertifikats
- Rotieren des RKE2-Zertifikats
