Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

4.5. Configuration de la prise en charge du proxy dans Operator Lifecycle Manager

Si un proxy global est configuré sur le cluster OpenShift Container Platform, Operator Lifecycle Manager (OLM) configure automatiquement les opérateurs qu'il gère avec le proxy à l'échelle du cluster. Cependant, vous pouvez également configurer les opérateurs installés pour remplacer le proxy global ou injecter un certificat CA personnalisé.

4.5.1. Remplacer les paramètres proxy d'un opérateur
Copier lien

Si un proxy de sortie à l'échelle du cluster est configuré, les opérateurs fonctionnant avec Operator Lifecycle Manager (OLM) héritent des paramètres de proxy à l'échelle du cluster sur leurs déploiements. Les administrateurs de cluster peuvent également remplacer ces paramètres de proxy en configurant l'abonnement d'un opérateur.

Important

Les opérateurs doivent gérer la définition des variables d'environnement pour les paramètres de proxy dans les pods pour tous les opérateurs gérés.

Conditions préalables

  • Accès à un cluster OpenShift Container Platform à l'aide d'un compte disposant des autorisations cluster-admin.

Procédure

  1. Naviguez dans la console web jusqu'à la page Operators OperatorHub.
  2. Sélectionnez l'opérateur et cliquez sur Install.

  3. Sur la page Install Operator, modifiez l'objet Subscription pour inclure une ou plusieurs des variables d'environnement suivantes dans la section spec:

    • HTTP_PROXY
    • HTTPS_PROXY
    • NO_PROXY

    Par exemple :

    Subscription avec des paramètres de proxy qui remplacent ceux de l'objet

    apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: etcd-config-test
  namespace: openshift-operators
spec:
  config:
    env:
    - name: HTTP_PROXY
      value: test_http
    - name: HTTPS_PROXY
      value: test_https
    - name: NO_PROXY
      value: test
  channel: clusterwide-alpha
  installPlanApproval: Automatic
  name: etcd
  source: community-operators
  sourceNamespace: openshift-marketplace
  startingCSV: etcdoperator.v0.9.4-clusterwide
    Copy to Clipboard Toggle word wrap

    Note

    Ces variables d'environnement peuvent également être désactivées à l'aide d'une valeur vide afin de supprimer tout paramètre de proxy personnalisé ou à l'échelle de la grappe.

    OLM traite ces variables d'environnement comme une unité ; si au moins l'une d'entre elles est définie, les trois sont considérées comme prioritaires et les valeurs par défaut à l'échelle du cluster ne sont pas utilisées pour les déploiements de l'opérateur souscrit.

  4. Cliquez sur Install pour mettre l'opérateur à la disposition des espaces de noms sélectionnés.

  5. Une fois que le CSV de l'opérateur apparaît dans l'espace de noms approprié, vous pouvez vérifier que les variables d'environnement du proxy personnalisé sont définies dans le déploiement. Par exemple, à l'aide de la CLI : 

    $ oc get deployment -n openshift-operators \
    etcd-operator -o yaml \
    | grep -i "PROXY" -A 2
    Copy to Clipboard Toggle word wrap

    Exemple de sortie

            - name: HTTP_PROXY
          value: test_http
        - name: HTTPS_PROXY
          value: test_https
        - name: NO_PROXY
          value: test
        image: quay.io/coreos/etcd-operator@sha256:66a37fd61a06a43969854ee6d3e21088a98b93838e284a6086b13917f96b0d9c
...
    Copy to Clipboard Toggle word wrap

Lorsqu'un administrateur de cluster ajoute un certificat d'autorité de certification personnalisé à un cluster à l'aide d'une carte de configuration, l'opérateur de réseau de cluster fusionne les certificats fournis par l'utilisateur et les certificats d'autorité de certification du système en un seul paquet. Vous pouvez injecter ce paquet fusionné dans votre opérateur fonctionnant sur Operator Lifecycle Manager (OLM), ce qui est utile si vous avez un proxy HTTPS de type "man-in-the-middle".

Conditions préalables

  • Accès à un cluster OpenShift Container Platform à l'aide d'un compte disposant des autorisations cluster-admin.
  • Certificat CA personnalisé ajouté au cluster à l'aide d'une carte de configuration.
  • Opérateur souhaité installé et fonctionnant sur OLM.

Procédure

  1. Créez une carte de configuration vide dans l'espace de noms où l'abonnement de votre opérateur existe et incluez l'étiquette suivante : 

    apiVersion: v1
kind: ConfigMap
metadata:
  name: trusted-ca
    1 
    
  labels:
    config.openshift.io/inject-trusted-cabundle: "true"
    2
    Copy to Clipboard Toggle word wrap
    1
    Nom de la carte de configuration.
    2
    Demande à l'opérateur de réseau de cluster d'injecter le paquet fusionné.

    Après avoir créé cette carte de configuration, elle est immédiatement remplie avec le contenu des certificats de l'ensemble fusionné.

  2. Mettez à jour votre objet Subscription pour inclure une section spec.config qui monte la carte de configuration trusted-ca en tant que volume pour chaque conteneur au sein d'un pod qui nécessite une autorité de certification personnalisée : 

    apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: my-operator
spec:
  package: etcd
  channel: alpha
  config:
    1 
    
    selector:
      matchLabels:
        <labels_for_pods>
    2 
    
    volumes:
    3 
    
    - name: trusted-ca
      configMap:
        name: trusted-ca
        items:
          - key: ca-bundle.crt
    4 
    
            path: tls-ca-bundle.pem
    5 
    
    volumeMounts:
    6 
    
    - name: trusted-ca
      mountPath: /etc/pki/ca-trust/extracted/pem
      readOnly: true
    Copy to Clipboard Toggle word wrap
    1
    Ajouter une section config si elle n'existe pas.
    2
    Spécifier des étiquettes pour correspondre aux pods qui appartiennent à l'opérateur.
    3
    Créez un volume trusted-ca.
    4
    ca-bundle.crt est nécessaire comme clé de la carte de configuration.
    5
    tls-ca-bundle.pem est requis comme chemin d'accès à la carte de configuration.
    6
    Créez un montage du volume trusted-ca.
    Note

    Les déploiements d'un opérateur peuvent échouer à valider l'autorité et afficher une erreur x509 certificate signed by unknown authority. Cette erreur peut se produire même après l'injection d'une autorité de certification personnalisée lors de l'utilisation de l'abonnement d'un opérateur. Dans ce cas, vous pouvez définir mountPath comme /etc/ssl/certs pour trusted-ca en utilisant l'abonnement d'un opérateur.

Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat