Posterior a de esta extensa búsqueda de datos hemos podido resolver este atascamiento que pueden tener muchos los usuarios. Te brindamos la solución y esperamos que te sea de mucha ayuda.
Descripción
Mostrar y rotar la CA raíz
API 1.30+ El cliente y la API del demonio deben ser al menos 1,30 para usar este comando. Utilizar el docker version
comando en el cliente para verificar las versiones de la API del demonio y del cliente.
Enjambre Este comando funciona con el orquestador Swarm.
Uso
docker swarm ca [OPTIONS]
Opciones
Nombre, taquigrafía | Defecto | Descripción |
--ca-cert |
Ruta al certificado de CA raíz con formato PEM que se usará para el nuevo clúster | |
--ca-key |
Ruta a la CA raíz con formato PEM key para usar en el nuevo clúster | |
--cert-expiry |
2160h0m0s |
Período de validez de los certificados de nodo (ns | us | ms | s | m | h) |
--detach , -d |
Salga de inmediato en lugar de esperar a que converja la rotación de la raíz | |
--external-ca |
Especificaciones de uno o más puntos finales de firma de certificados | |
--quiet , -q |
Suprimir la salida de progreso | |
--rotate |
Gire la CA del enjambre – si no hay certificado o key se proporcionan, se generarán nuevos |
Comando de padres
Mando | Descripción |
---|---|
enjambre de estibadores | Administrar enjambre |
Comandos relacionados
Mando | Descripción |
docker swarm ca | Mostrar y rotar la CA raíz |
docker swarm init | Inicializar un enjambre |
unirse al enjambre de Docker | Únase a un enjambre como nodo y / o administrador |
ficha de unión de enjambre de docker | Administrar tokens de unión |
docker enjambre dejar | Deja el enjambre |
Desbloqueo de enjambre de Docker | Desbloquear enjambre |
Desbloqueo de enjambre de Dockerkey | Gestionar el desbloqueo key |
actualización de docker swarm | Actualiza el enjambre |
Descripción ampliada
Ver o rotar el certificado de CA de enjambre actual. Este comando debe apuntar a un nodo administrador.
Ejemplos de
Ejecutar el docker swarm ca
comando sin ninguna opción para ver el certificado de CA raíz actual en formato PEM.
$ docker swarm ca -----BEGIN CERTIFICATE----- MIIBazCCARCgAwIBAgIUJPzo67QC7g8Ebg2ansjkZ8CbmaswCgYIKoZIzj0EAwIw EzERMA8GA1UEAxMIc3dhcm0tY2EwHhcNMTcwNTAzMTcxMDAwWhcNMzcwNDI4MTcx MDAwWjATMREwDwYDVQQDEwhzd2FybS1jYTBZMBMGByqGSM49AgEGCCqGSM49AwEH A0IABKL6/C0sihYEb935wVPRA8MqzPLn3jzou0OJRXHsCLcVExigrMdgmLCC+Va4 +sJ+SLVO1eQbvLHH8uuDdF/QOU6jQjBAMA4GA1UdDwEB/wQEAwIBBjAPBgNVHRMB Af8EBTADAQH/MB0GA1UdDgQWBBSfUy5bjUnBAx/B0GkOBKp91XvxzjAKBggqhkjO PQQDAgNJADBGAiEAnbvh0puOS5R/qvy1PMHY1iksYKh2acsGLtL/jAIvO4ACIQCi lIwQqLkJ48SQqCjG1DBTSBsHmMSRT+6mE2My+Z3GKA== -----END CERTIFICATE-----
Pasa el --rotate
bandera (y opcionalmente una --ca-cert
, junto con un --ca-key
o --external-ca
bandera de parámetro), para rotar la CA raíz del enjambre actual.
$ docker swarm ca --rotate desired root digest: sha256:05da740cf2577a25224c53019e2cce99bcc5ba09664ad6bb2a9425d9ebd1b53e rotated TLS certificates: [=========================> ] 1/2 nodes rotated CA certificates: [> ] 0/2 nodes
Una vez finalizada la rotación del sistema operativo (se han completado todas las barras de progreso), se imprimirá el certificado de CA actual:
$ docker swarm ca --rotate desired root digest: sha256:05da740cf2577a25224c53019e2cce99bcc5ba09664ad6bb2a9425d9ebd1b53e rotated TLS certificates: [==================================================>] 2/2 nodes rotated CA certificates: [==================================================>] 2/2 nodes -----BEGIN CERTIFICATE----- MIIBazCCARCgAwIBAgIUFynG04h5Rrl4lKyA4/E65tYKg8IwCgYIKoZIzj0EAwIw EzERMA8GA1UEAxMIc3dhcm0tY2EwHhcNMTcwNTE2MDAxMDAwWhcNMzcwNTExMDAx MDAwWjATMREwDwYDVQQDEwhzd2FybS1jYTBZMBMGByqGSM49AgEGCCqGSM49AwEH A0IABC2DuNrIETP7C7lfiEPk39tWaaU0I2RumUP4fX4+3m+87j0DU0CsemUaaOG6 +PxHhGu2VXQ4c9pctPHgf7vWeVajQjBAMA4GA1UdDwEB/wQEAwIBBjAPBgNVHRMB Af8EBTADAQH/MB0GA1UdDgQWBBSEL02z6mCI3SmMDmITMr12qCRY2jAKBggqhkjO PQQDAgNJADBGAiEA263Eb52+825EeNQZM0AME+aoH1319Zp9/J5ijILW+6ACIQCg gyg5u9Iliel99l7SuMhNeLkrU7fXs+Of1nTyyM73ig== -----END CERTIFICATE-----
--rotate
Se recomienda la rotación de la CA raíz si uno o más de los administradores de enjambre se han visto comprometidos, de modo que esos administradores ya no puedan conectarse ni ser de confianza para ningún otro nodo del clúster.
Alternativamente, la rotación de la CA raíz se puede utilizar para ceder el control de la CA del enjambre a una CA externa, o para recuperar el control de una CA externa.
los --rotate
bandera no requiere ningún parámetro para hacer una rotación, pero opcionalmente puede especificar un certificado y key, o un certificado y una URL de CA externa, y se utilizarán en lugar de un certificado generado automáticamente /key par.
Porque la CA raíz key debe mantenerse en secreto, si se proporciona, no será visible cuando se visualice enjambre cualquier información a través de la CLI o API.
La rotación de la CA raíz no se completará hasta que todos los nodos registrados hayan rotado sus certificados TLS. Si la rotación no se completa en un período de tiempo razonable, intente ejecutar docker node ls --format '.ID .Hostname .Status .TLSStatus'
para ver si alguno de los nodos está inactivo o no puede rotar los certificados TLS.
--detach
Inicie la rotación de la CA raíz, pero no espere a que finalice ni muestre el progreso de la rotación.
Si tienes algún recelo y forma de limar nuestro noticia puedes añadir una interpretación y con mucho placer lo interpretaremos.