Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

Chapitre 30. Configuration d'une ICP personnalisée

download PDF

Certains composants de la plate-forme, tels que la console Web, utilisent des routes pour communiquer et doivent faire confiance aux certificats des autres composants pour interagir avec eux. Si vous utilisez une infrastructure de clés publiques (PKI) personnalisée, vous devez la configurer de manière à ce que ses certificats d'autorité de certification signés de manière privée soient reconnus dans l'ensemble du cluster.

Vous pouvez utiliser l'API Proxy pour ajouter des certificats d'autorité de certification approuvés à l'échelle du cluster. Vous devez effectuer cette opération soit lors de l'installation, soit lors de l'exécution.

  • Pendant installation, configurez le proxy de la grappe. Vous devez définir vos certificats CA signés de manière privée dans le paramètre additionalTrustBundle du fichier install-config.yaml.

    Le programme d'installation génère un ConfigMap nommé user-ca-bundle qui contient les certificats CA supplémentaires que vous avez définis. L'opérateur de réseau de cluster crée ensuite un ConfigMap trusted-ca-bundle qui fusionne ces certificats CA avec l'ensemble de confiance Red Hat Enterprise Linux CoreOS (RHCOS) ; ce ConfigMap est référencé dans le champ trustedCA de l'objet Proxy.

  • À runtimemodifiez l'objet Proxy par défaut pour y inclure vos certificats d'autorité de certification signés de manière privée (dans le cadre du processus d'activation du proxy du cluster). Cela implique la création d'un ConfigMap contenant les certificats d'autorité de certification signés de manière privée qui doivent être approuvés par le cluster, puis la modification de la ressource proxy avec le site trustedCA faisant référence au ConfigMap des certificats signés de manière privée.
Note

Le champ additionalTrustBundle de la configuration de l'installateur et le champ trustedCA de la ressource proxy sont utilisés pour gérer le faisceau de confiance à l'échelle du cluster ; additionalTrustBundle est utilisé au moment de l'installation et trustedCA au moment de l'exécution.

Le champ trustedCA est une référence à un site ConfigMap contenant le certificat personnalisé et la paire de clés utilisés par le composant cluster.

30.1. Configuring the cluster-wide proxy during installation

Les environnements de production peuvent refuser l'accès direct à Internet et disposer à la place d'un proxy HTTP ou HTTPS. Vous pouvez configurer un nouveau cluster OpenShift Container Platform pour utiliser un proxy en configurant les paramètres du proxy dans le fichier install-config.yaml.

Conditions préalables

  • Vous avez un fichier install-config.yaml existant.

  • Vous avez examiné les sites auxquels votre cluster doit accéder et déterminé si l'un d'entre eux doit contourner le proxy. Par défaut, tout le trafic de sortie du cluster est proxyé, y compris les appels aux API des fournisseurs de clouds d'hébergement. Vous avez ajouté des sites au champ spec.noProxy de l'objet Proxy pour contourner le proxy si nécessaire.

    Note

    Le champ de l'objet Proxy status.noProxy est rempli avec les valeurs des champs networking.machineNetwork[].cidr, networking.clusterNetwork[].cidr et networking.serviceNetwork[] de votre configuration d'installation.

    Pour les installations sur Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure et Red Hat OpenStack Platform (RHOSP), le champ de l'objet Proxy status.noProxy est également renseigné avec le point de terminaison des métadonnées de l'instance (169.254.169.254).

Procédure

  1. Modifiez votre fichier install-config.yaml et ajoutez les paramètres du proxy. Par exemple : 

    apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: ec2.<aws_region>.amazonaws.com,elasticloadbalancing.<aws_region>.amazonaws.com,s3.<aws_region>.amazonaws.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
additionalTrustBundlePolicy: <policy_to_add_additionalTrustBundle> 5
    1
    URL proxy à utiliser pour créer des connexions HTTP en dehors du cluster. Le schéma de l'URL doit être http.
    2
    A proxy URL to use for creating HTTPS connections outside the cluster.
    3
    Une liste de noms de domaine, d'adresses IP ou d'autres CIDR du réseau de destination, séparés par des virgules, à exclure du proxy. Faites précéder un domaine de . pour qu'il corresponde uniquement aux sous-domaines. Par exemple, .y.com correspond à x.y.com, mais pas à y.com. Utilisez * pour contourner le proxy pour toutes les destinations. Si vous avez ajouté les points d'extrémité Amazon EC2,Elastic Load Balancing, et S3 VPC à votre VPC, vous devez ajouter ces points d'extrémité au champ noProxy.
    4
    S'il est fourni, le programme d'installation génère une carte de configuration nommée user-ca-bundle dans l'espace de noms openshift-config qui contient un ou plusieurs certificats CA supplémentaires requis pour les connexions HTTPS par proxy. L'opérateur de réseau de cluster crée ensuite une carte de configuration trusted-ca-bundle qui fusionne ces contenus avec l'ensemble de confiance Red Hat Enterprise Linux CoreOS (RHCOS), et cette carte de configuration est référencée dans le champ trustedCA de l'objet Proxy. Le champ additionalTrustBundle est requis à moins que le certificat d'identité du proxy ne soit signé par une autorité de l'ensemble de confiance RHCOS.
    5
    Facultatif : La politique qui détermine la configuration de l'objet Proxy pour référencer la carte de configuration user-ca-bundle dans le champ trustedCA. Les valeurs autorisées sont Proxyonly et Always. Utilisez Proxyonly pour référencer la carte de configuration user-ca-bundle uniquement lorsque le proxy http/https est configuré. Utilisez Always pour toujours référencer la carte de configuration user-ca-bundle. La valeur par défaut est Proxyonly.
    Note

    Le programme d'installation ne prend pas en charge le champ proxy readinessEndpoints.

    Note

    Si le programme d'installation s'arrête, redémarrez et terminez le déploiement en utilisant la commande wait-for du programme d'installation. Par exemple : 

    $ ./openshift-install wait-for install-complete --log-level debug
  2. Save the file and reference it when installing OpenShift Container Platform.

Le programme d'installation crée un proxy à l'échelle de la grappe nommé cluster qui utilise les paramètres du proxy dans le fichier install-config.yaml fourni. Si aucun paramètre de proxy n'est fourni, un objet cluster Proxy est tout de même créé, mais il aura un spec nul.

Note

Seul l'objet Proxy nommé cluster est pris en charge et aucune autre procuration ne peut être créée.

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.