Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Cert-Manager für Azure Arc-fähige Kubernetes-Erweiterung (Vorschau) bietet eine einheitliche, automatisierte Lösung zum Verwalten von TLS-Zertifikaten und Vertrauensbündeln in arc-verbundenen Clustern. Sie vereinfacht das Ausstellen, Erneuern und Verwalten von Zertifikaten in hybriden und multicloud-Umgebungen, wodurch sichere Kommunikation und Compliance mit Organisationsrichtlinien bereitgestellt werden.
Von Bedeutung
Der Cert-Manager für Azure Arc-fähige Kubernetes-Cluster befindet sich derzeit in der öffentlichen Vorschau.
Lesen Sie die Supplemental-Nutzungsbedingungen für Microsoft Azure Previews für rechtliche Bedingungen, die für Azure Features gelten, die sich in der Betaversion, vorschau oder auf andere Weise noch nicht in der allgemeinen Verfügbarkeit befinden.
Der Zertifikat-Manager für arcfähige Kubernetes-Erweiterung installiert eine Microsoft unterstützte Version von cert-manager und trust-manager. Die Verwendung des Cert-Managers für die Arc-fähige Kubernetes-Erweiterung bietet die folgenden Vorteile:
- Automatisierter Zertifikatlebenszyklus: Keine manuellen Zertifikaterstellung oder -erneuerung. Verwenden Sie cert-manager, um Zertifikate für Ihre Kubernetes-Workloads oder Clusterkomponenten auszustellen und sie zu erneuern, bevor sie ablaufen. Dadurch wird das Risiko von Dienstausfällen aufgrund abgelaufener Zertifikate erheblich reduziert und der menschliche Fehler bei der Zertifikatbehandlung minimiert.
- Zentrale Vertrauensverwaltung: Verwenden Sie Trust-Manager, um Zertifizierungsstellenzertifikate (CA-Zertifikate, Vertrauensbündel) über Namespaces im Cluster hinweg zu verteilen. Dadurch wird sichergestellt, dass alle Pods und Dienste einen konsistenten Satz von vertrauenswürdigen Zertifizierungsstellenzertifikaten für TLS-Überprüfungen gemeinsam nutzen und eine sichere Dienst-zu-Dienst-Kommunikation ohne manuelle Eingriffe ermöglichen.
- Integration mit der Enterprise Public Key Infrastructure (PKI): Der cert-manager für die Arc-fähigen Kubernetes-Erweiterung unterstützt sowohl selbstsignierte CA-Zertifikate als auch externe Unternehmens-CA-Zertifikate. Sie können zulassen, dass es ein selbstsigniertes clusterbasiertes Zertifizierungsstellenzertifikat für interne Zertifikate erstellt oder so konfiguriert wird, dass Zertifikate von der vorhandenen PKI Ihrer Organisation angefordert werden (z. B. eine externe Unternehmenszertifizierungsstelle oder ein ACME-Anbieter). Darüber hinaus können Sie einen cluster-lokalen Herausgeber erstellen, der entweder ein selbstsignierter Wurzel-Aussteller oder ein Zwischenherausgeber ist, der mit einem Schlüssel und Zertifikat verkettet ist, das von Ihrer Unternehmens-PKI abgerufen wurde, was für Szenarien mit Air-Gap oder Offline-Zertifikatsausstellung nützlich sein kann. Mit dieser Flexibilität können Sie Complianceanforderungen für Unternehmen erzwingen, indem sichergestellt wird, dass alle Zertifikate letztendlich von einer bekannten und vertrauenswürdigen Autorität ausgestellt oder an eine bekannte und vertrauenswürdige Behörde verkettet werden, während die Verwaltung des Zertifikatlebenszyklus weiterhin vollständig automatisiert wird.
- Offline- und Edge-freundlich: Der Cert-Manager für arc-fähige Kubernetes-Erweiterung ist für Edgeszenarien ausgelegt. Die Erweiterung kann für einen Zeitraum funktionieren, auch wenn der Cluster vorübergehend von Azure oder öffentlichen Netzwerken getrennt ist. Zertifikate und Vertrauensinformationen bleiben z. B. offline nutzbar (begrenzt durch konfigurierte Ablauf- und Verlängerungszeiträume), um einen fortgesetzten sicheren Betrieb in zeitweiligen Konnektivitätsszenarien sicherzustellen.
- Microsoft-supported distribution: Im Gegensatz zu einer selbstverwalteten Open Source Bereitstellung von Cert-Manager und Trust-Manager wird diese Erweiterung von Microsoft im Rahmen von Azure Arc verwaltet. Wenn Sie cert-manager für Arc-fähige Kubernetes verwenden, erhalten Sie proaktive Updates, Sicherheitspatches und Unternehmensunterstützung für die Komponenten cert-manager und trust-manager. Diese Erweiterung entspricht den Sicherheitsmodellen und Compliance-Standards Azure und bietet Ihnen Einen Überblick darüber, dass die Zertifikatverwaltung unternehmens- und behördliche Anforderungen erfüllt.
Funktionsweise des Cert-Managers für Arc-enabled Kubernetes
Nachdem Sie den Cert-Manager für Arc-fähige Kubernetes-Erweiterung (Vorschau) auf Ihrem Arc-fähigen Kubernetes-Cluster installiert haben, stellt Azure Arc cert-manager- und Trust-Manager-Dienste im cert-manager Namespace im Cluster bereit. Diese Dienste werden mit minimalem Speicherbedarf ausgeführt, und sie überwachen kontinuierlich benutzerdefinierte Ressourcen, die zertifikatanforderungen oder vertrauenswürdige Bündel beschreiben.
Sie können benutzerdefinierte Kubernetes-Ressourcen wie Issuer/ClusterIssuer und Certificate-Objekte erstellen, um Zertifikate anzufordern, oder Objekte bündeln, um Zertifizierungsstellenzertifikate zu verteilen. Der Zertifikat-Manager arbeitet dann mit den konfigurierten Ausstellern zusammen, um die Zertifikate zu erhalten (z. B. generieren ein Schlüsselpaar und das Abrufen des Schlüssels durch die angegebene Zertifizierungsstelle) und speichert das resultierende Zertifikat und den Schlüssel in einem Kubernetes-Geheimnis, das Ihre Anwendung verwenden soll. Der Trust-Manager wird alle Bundle-Ressourcen aufnehmen und die entsprechenden ConfigMaps von CA-Zertifikaten in den Ziel-Namespaces erstellen, wobei er Updates und Verbreitung automatisch verwaltet.
Überprüfte Arc-fähige Kubernetes-Verteilungen
Die aktuelle Version des Cert-Managers für Arc-enabled Kubernetes (Vorschau)-Erweiterung wurde für die folgenden Arc-fähigen Kubernetes-Distributionen überprüft:
- Azure Kubernetes Service (AKS) durch Azure Arc aktiviert: v1.32.7
- VMWare Tanzu TKGm: v1.28.11
- K3s: v1.33.3+k3s1
- Red Hat Open Shift: v4.17.15, v4.18.9, v4.20.8
- Suse Rancher RKE2: v1.33.6+rke2r1, v1.34.2+rke2r, v1.35.0+rke2r3
- AKS Edge Essentials: v1.30.5 und v.1.31.5
- Azure Local Version 2602 + Kubernetes Version 1.31.13, 1.32.9, 1.33.5
Sie können die Erweiterung zwar für jeden Kubernetes-Cluster bereitstellen, der mit Azure Arc verbunden ist, aber einige Funktionen funktionieren möglicherweise nicht wie erwartet, wenn ihr Cluster eine Verteilung ausführt, die nicht überprüft wurde.
Regionale Unterstützung
Derzeit wird der Cert-Manager für Azure Arc-fähige Kubernetes (Vorschau) in den folgenden Azure Regionen unterstützt:
- Australien (Osten)
- Brasilien Süd
- Canada Central
- Kanada, Osten
- Zentralindien
- Central US
- Ostasien
- East US
- Ost-USA 2
- Frankreich, Mitte
- Deutschland West Central
- Israel Central
- Italien, Norden
- Japan, Osten
- Korea Central
- Nord-Mittel-USA
- Nordeuropa
- Norwegen, Osten
- Südafrika Nord
- Süd-Mittel-USA
- South India
- Südostasien
- Schweden, Mitte
- Switzerland North
- Vereinigte Arabische Emirate, Norden
- UK South
- UK West
- Zentraler Westen der USA
- West Europe
- West US
- Westliches USA 2
- Westliches USA 3
Nächste Schritte
- Erfahren Sie, wie Sie cert-manager für Arc-fähige Kubernetes (Vorschau) bereitstellen.
- Erfahren Sie, wie Sie den cert-manager für Arc-fähige Kubernetes (Vorschau) überwachen und Fehler beheben.