Red Hat Summit14.6. Configuration des certificats dynamiques pour des itinéraires de domaine personnalisés
Désormais, vous pouvez exposer des applications de cluster sur n’importe quel sous-domaine de premier niveau du domaine spécifié, mais la connexion ne sera pas sécurisée avec un certificat TLS correspondant au domaine de l’application. Afin de s’assurer que ces applications de cluster ont des certificats valides pour chaque nom de domaine, configurez cert-Manager pour délivrer dynamiquement un certificat à chaque nouvelle route créée sous ce domaine.
Créer les ressources OpenShift nécessaires pour gérer les certificats pour les routes OpenShift.
Cette étape crée un nouveau déploiement (et donc un pod) qui surveille spécifiquement les routes annotées dans le cluster. Lorsque les annotations de type émetteur et de nom d’émetteur sont trouvées dans une nouvelle route, il demande à l’émetteur (ClusterIssuer dans ce cas) un nouveau certificat qui est unique à cette route et qui honorera le nom d’hôte spécifié lors de la création de l’itinéraire.
NoteDans le cas où le cluster n’a pas accès à GitHub, vous pouvez enregistrer les contenus bruts localement et exécuter oc application -f localfilename.yaml -n cert-manager.
oc -n cert-manager apply -f https://github.com/cert-manager/openshift-routes/releases/latest/download/cert-manager-openshift-routes.yaml
$ oc -n cert-manager apply -f https://github.com/cert-manager/openshift-routes/releases/latest/download/cert-manager-openshift-routes.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow Les ressources supplémentaires d’OpenShift suivantes sont également créées dans cette étape:
- ClusterRole - accorde des autorisations pour regarder et mettre à jour les itinéraires à travers le cluster
- Compte ServiceAccount - utilise les autorisations pour exécuter le pod nouvellement créé
- ClusterRoleBinding - lie ces deux ressources
Assurez-vous que la nouvelle pod de cert-manager-openshift-routes fonctionne avec succès:
oc -n cert-manager get pods
$ oc -n cert-manager get podsCopy to Clipboard Copied! Toggle word wrap Toggle overflow Exemple de résultat
NAME READY STATUS RESTARTS AGE cert-manager-866d8f788c-9kspc 1/1 Running 0 4h21m cert-manager-cainjector-6885c585bd-znws8 1/1 Running 0 4h41m cert-manager-openshift-routes-75b6bb44cd-f8kd5 1/1 Running 0 6s cert-manager-webhook-8498785dd9-bvfdf 1/1 Running 0 4h41m
NAME READY STATUS RESTARTS AGE cert-manager-866d8f788c-9kspc 1/1 Running 0 4h21m cert-manager-cainjector-6885c585bd-znws8 1/1 Running 0 4h41m cert-manager-openshift-routes-75b6bb44cd-f8kd5 1/1 Running 0 6s cert-manager-webhook-8498785dd9-bvfdf 1/1 Running 0 4h41mCopy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}