Essa página de documentação descreve a verificação de expiração dos certificados do Kubernetes usada pelo Horizon Cloud Connector, em que você pode ver os avisos de expiração e como o sistema renova automaticamente os certificados dois meses antes da expiração.

Introdução

Conforme descrito no artigo da KB 90505, um Horizon Cloud Connector implantado tem um cluster interno do Kubernetes com certificados gerados pelo sistema usados para comunicação segura e conectividade com a camada de controle do Horizon. Esses certificados gerados pelo sistema têm validade de um ano (1 ano).

Para evitar interrupções nas comunicações do dispositivo com a camada de controle dos certificados gerados pelo sistema que atingem a data de expiração antes da renovação, a partir da versão 2.4, o dispositivo Horizon Cloud Connector fornece:

  • Verificações automatizadas semanais da validade dos certificados do dispositivo do Kubernetes
  • Exibição na tela da contagem atual de dias até a expiração.
  • Renovação automática dos certificados quando a verificação de validade determina que a validade do certificado é inferior a 60 dias para expirar. Como os serviços do dispositivo têm um breve período de inatividade durante o processo de renovação, o processo de renovação automática do sistema ocorre apenas nos finais de semana à meia-noite, de acordo com o horário local do dispositivo. O sistema renova os certificados por um (1) ano.

Verificações de validade do sistema

O dispositivo verifica a validade semanalmente, todos os sábados e domingos à meia-noite, de acordo com a hora local do dispositivo.

A verificação de validade avalia o número de dias restantes antes que os certificados do cluster Kubernetes expirem. Se a validade do certificado for inferior a 60 dias, o sistema renovará automaticamente e emitirá novos certificados com validade de um (1) ano.

Quando você visualiza as informações na tela, o status é calculado em tempo real. Por exemplo, quando você exibe as informações exibidas em um dia da semana como quarta-feira, a interface do usuário exibe o número de dias restantes até a expiração nessa quarta-feira.

As informações na tela seguem um padrão de acordo com o número de dias restantes até a data de expiração.

Mais de 120 dias restantes: verde (bom)
As informações na tela exibem o número de dias em que os certificados são válidos. Por exemplo: válido por 364 dias.
Entre 120 e 60 dias restantes: laranja (aviso)
Quando o tempo ultrapassa os oito meses, as informações na tela exibem o número de dias até a expiração, e há um link para o artigo da base de dados de conhecimento 90505 com as etapas de renovação que você pode seguir para renovar os certificados antes da renovação automática do sistema.

Como o processo de renovação pode causar um breve tempo de inatividade do dispositivo e de seus serviços, você pode optar por seguir as etapas no artigo da base de dados de conhecimento para renovar os certificados por conta própria, em vez de esperar até chegar a 60 dias até a expiração. Renovar os certificados por conta própria permite que você determine o dia e a hora desse breve período de inatividade. Conforme descrito no artigo da base de dados de conhecimento, o procedimento inclui a reinicialização do dispositivo e pode levar vários minutos para que todos os serviços sejam reinicializados.

Menos de 60 dias restantes: vermelho (erro)
Quando o tempo está dentro de 60 dias até a expiração, as informações na tela exibem o número de dias até a expiração, e há um link para o artigo da base de dados de conhecimento 90505 com as etapas de renovação que você pode executar para renovar os certificados antes da renovação automática do sistema.

"A próxima vez que a verificação de validade do sistema for executada e determinar que a validade do certificado é inferior a 60 dias, o sistema renovará automaticamente e emitirá novos certificados." Na renovação automatizada, os novos certificados têm validade de um (1) ano.

Locais na tela

As informações de validade na tela podem ser visualizadas nos seguintes locais:

  • No portal de configuração do Horizon Cloud Connector, na lista Integridade do Cloud Connector, você pode ver a mensagem na tela passando o mouse sobre o ícone ao lado da linha Certificados do Kubernetes.
  • Se as etapas de registro de domínio do Active Directory tiverem sido concluídas em seu ambiente de tenant de primeira geração, você poderá usar a página Capacidade do Horizon Universal Console para navegar até a página de detalhes do pod e passar o mouse sobre o ícone nessa página de interface do usuário.