Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

4.4. Configuration du support proxy dans Operator Lifecycle Manager

Lorsqu’un proxy global est configuré sur le service Red Hat OpenShift sur AWS cluster, Operator Lifecycle Manager (OLM) configure automatiquement les opérateurs qu’il gère avec le proxy à l’échelle du cluster. Cependant, vous pouvez également configurer les opérateurs installés pour remplacer le proxy global ou injecter un certificat CA personnalisé.

  • Développer des opérateurs qui prennent en charge les paramètres proxy pour Go, Ansible et Helm

4.4.1. Dépassement des paramètres proxy d’un opérateur
Copier lien

En cas de configuration d’un proxy de sortie à l’échelle du cluster, les opérateurs s’exécutant avec Operator Lifecycle Manager (OLM) héritent des paramètres proxy à l’échelle du cluster sur leurs déploiements. Les administrateurs avec le rôle dédié-admin peuvent également remplacer ces paramètres proxy en configurant l’abonnement d’un opérateur.

Important

Les opérateurs doivent gérer les variables d’environnement de réglage pour les paramètres proxy dans les pods pour tous les Operands gérés.

Conditions préalables

  • Accès à un service Red Hat OpenShift sur AWS cluster en tant qu’utilisateur avec le rôle d’administrateur dédié.

Procédure

  1. Accédez à la console Web vers la page Opérateurs OperatorHub.
  2. Choisissez l’opérateur et cliquez sur Installer.

  3. Dans la page Installer l’opérateur, modifier l’objet Abonnement pour inclure une ou plusieurs des variables d’environnement suivantes dans la section Spécifications:

    • HTTP_PROXY
    • HTTPS_PROXY
    • AUCUN_PROXY

    À titre d’exemple:

    L’objet d’abonnement avec le paramètre proxy remplace

    apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: etcd-config-test
  namespace: openshift-operators
spec:
  config:
    env:
    - name: HTTP_PROXY
      value: test_http
    - name: HTTPS_PROXY
      value: test_https
    - name: NO_PROXY
      value: test
  channel: clusterwide-alpha
  installPlanApproval: Automatic
  name: etcd
  source: community-operators
  sourceNamespace: openshift-marketplace
  startingCSV: etcdoperator.v0.9.4-clusterwide
    Copy to Clipboard Toggle word wrap

    Note

    Ces variables d’environnement peuvent également être dédéfinies à l’aide d’une valeur vide pour supprimer tous les paramètres de proxy définis précédemment à l’échelle du cluster ou sur mesure.

    L’ODM gère ces variables d’environnement en tant qu’unité; si au moins une d’entre elles est définie, les trois sont considérés comme dépassés et les valeurs par défaut à l’échelle du cluster ne sont pas utilisées pour les déploiements de l’opérateur souscrit.

  4. Cliquez sur Installer pour rendre l’opérateur disponible dans les espaces de noms sélectionnés.

  5. Après que le CSV pour l’opérateur s’affiche dans l’espace de noms pertinent, vous pouvez vérifier que des variables d’environnement proxy personnalisées sont définies dans le déploiement. À titre d’exemple, l’utilisation du CLI: 

    $ oc get deployment -n openshift-operators \
    etcd-operator -o yaml \
    | grep -i "PROXY" -A 2
    Copy to Clipboard Toggle word wrap

    Exemple de sortie

            - name: HTTP_PROXY
          value: test_http
        - name: HTTPS_PROXY
          value: test_https
        - name: NO_PROXY
          value: test
        image: quay.io/coreos/etcd-operator@sha256:66a37fd61a06a43969854ee6d3e21088a98b93838e284a6086b13917f96b0d9c
...
    Copy to Clipboard Toggle word wrap

4.4.2. Injection d’un certificat CA personnalisé
Copier lien

Lorsqu’un administrateur avec le rôle d’administrateur dédié ajoute un certificat CA personnalisé à un cluster à l’aide d’une carte de configuration, l’opérateur réseau de cluster fusionne les certificats fournis par l’utilisateur et les certificats CA système en un seul paquet. Il est possible d’injecter ce paquet fusionné dans votre opérateur fonctionnant sur Operator Lifecycle Manager (OLM), ce qui est utile si vous avez un proxy HTTPS man-in-the-middle.

Conditions préalables

  • Accès à un service Red Hat OpenShift sur AWS cluster en tant qu’utilisateur avec le rôle d’administrateur dédié.
  • Certificat CA personnalisé ajouté au cluster à l’aide d’une carte de configuration.
  • L’opérateur désiré a installé et exécuté sur OLM.

Procédure

  1. Créez une carte de configuration vide dans l’espace de noms où l’abonnement pour votre opérateur existe et incluez l’étiquette suivante: 

    apiVersion: v1
kind: ConfigMap
metadata:
  name: trusted-ca
    1 
    
  labels:
    config.openshift.io/inject-trusted-cabundle: "true"
    2
    Copy to Clipboard Toggle word wrap
    1
    Le nom de la carte de configuration.
    2
    Demande au Cluster Network Operator d’injecter le paquet fusionné.

    Après avoir créé cette carte de configuration, il est immédiatement rempli avec le contenu du certificat du paquet fusionné.

  2. Actualisez l’objet Abonnement pour inclure une section spec.config qui monte la carte de configuration de confiance en tant que volume à chaque conteneur dans un pod qui nécessite une CA personnalisée: 

    apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: my-operator
spec:
  package: etcd
  channel: alpha
  config:
    1 
    
    selector:
      matchLabels:
        <labels_for_pods>
    2 
    
    volumes:
    3 
    
    - name: trusted-ca
      configMap:
        name: trusted-ca
        items:
          - key: ca-bundle.crt
    4 
    
            path: tls-ca-bundle.pem
    5 
    
    volumeMounts:
    6 
    
    - name: trusted-ca
      mountPath: /etc/pki/ca-trust/extracted/pem
      readOnly: true
    Copy to Clipboard Toggle word wrap
    1
    Ajoutez une section de configuration si elle n’existe pas.
    2
    Indiquez les étiquettes pour correspondre aux pods appartenant à l’opérateur.
    3
    Créez un volume de confiance.
    4
    ca-bundle.crt est nécessaire en tant que clé map de configuration.
    5
    le TLS-ca-bundle.pem est requis en tant que chemin de configuration de la carte.
    6
    Créez une monture de volume de confiance.
    Note

    Les déploiements d’un opérateur peuvent ne pas valider l’autorité et afficher un certificat x509 signé par erreur d’autorité inconnue. Cette erreur peut se produire même après l’injection d’un CA personnalisé lors de l’utilisation de l’abonnement d’un opérateur. Dans ce cas, vous pouvez définir le MountPath comme /etc/ssl/certs pour confiance-ca en utilisant l’abonnement d’un opérateur.

Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat