CA証明書を作成または更新できないのはなぜですか？

仮想プライベートクラウド クラシック・インフラストラクチャー

cluster ca create コマンドを実行すると、次の例のようなエラーメッセージが表示される。

ibmcloud ks cluster ca create -c CLUSTER

FAILED
You must reload/update/replace all workers and download new certificates locally in order to revoke old CA Cert. (E1955)

このエラーは、前のローテーションを完了せずに、新しいローテーションを開始しようとしたときに発生する可能性があります。 ローテーションを開始した後、次のローテーションを開始するには、すべてのステップを完了しなければならない。

ローテーションを完了するには、ワーカーノードをリロードするか交換する必要があります。

1. クラスタタイプに応じた手順に従って、ワーカーノードを再ロードまたは交換します。

   • クラシックワーカーノードをリロード します。
   • VPCワーカーノードを交換 します。

2. 以前の証明書に依存しているツールや Webhook を更新する。 例えば、以下の1つ以上を更新する必要があるかもしれない。

   • クラスタの kubeconfig ファイルにある証明書を、 Jenkins のような独自のサービスで使用する場合。
   • Calico ネットワーク・ポリシーの管理に calicoctl を使用している場合は、新しい証明書を使用するようにサービスと自動化を更新する。
   • 監査ログを IBM Cloud Logs に転送する場合は、 マスター監査ウェブフックの 証明書を更新してください。
   • 監査ログをプライベートネットワーク経由で転送する場合は、 マスター監査Webhookの 証明書を更新します。

3. ca rotate コマンドを実行して、証明書のローテーションを完了する。

   ibmcloud ks cluster ca rotate -c CLUSTER
   

4. 問題が解決しない場合は、サポートにお問い合わせください。 サポート Case を開きます。 ケースの詳細には、関連するログファイル、エラーメッセージ、コマンド出力を必ず含めてください。