16.4.3. IdM と同じドメインを使用し、既存のパブリックエンドポイント証明書を IdM の生成する証明書に置き換えるデプロイメントのオーバークラウドインテグレーションの設定
以下のパラメーターが
openstack overcloud deploy
コマンド(有効な設定あり)に存在することを確認してから、デプロイメントコマンドを再度実行します。- --ntp-server` : まだ設定されていなければ、ご自分の環境に適した NTP サーバーを指定します。IdM サーバーは ntp を実行している必要があります。
-
cloud-names.yaml
:(IP ではなく)最初のデプロイメントコマンドからの FQDN が含まれます。 -
enable-tls.yaml
: 新しいオーバークラウド証明書が含まれます。https://github.com/openstack/tripleo-heat-templates/blob/master/environments/ssl/enable-tls.yaml で例を確認してください。 -
public_vip.yaml
: dns が照合できるようにエンドポイントを特定の ip にマッピングします。 -
enable-internal-tls.yaml
: 内部エンドポイントの TLS を有効にします。 -
tls-everywhere-endpoints-dns.yaml
: DNS 名を使用して TLS エンドポイントを設定します。このファイルの内容を確認して、設定の範囲を把握することができます。 -
haproxy-public-tls-certmonger.yaml
: certmonger は haproxy の内部証明書およびパブリック証明書を管理します。 inject-trust-anchor.yaml
: ルート認証局を追加します。このパラメーターは、証明書が依存する CA チェーンがまだデフォルトで使用される共通セットの一部ではない場合にのみ必要です (たとえば、自己署名の証明書を使用する場合など)。以下に例を示します。
[ stack@undercloud ~]$ openstack overcloud deploy \ ... --ntp-server 10.13.57.78 \ -e /home/stack/cloud-names.yaml \ -e /home/stack/enable-tls.yaml \ -e /home/stack/public_vip.yaml \ -e <tripleo-heat-templates>/environments/ssl/enable-internal-tls.yaml \ -e <tripleo-heat-templates>/environments/ssl/tls-everywhere-endpoints-dns.yaml \ -e <tripleo-heat-templates>/environments/services/haproxy-public-tls-certmonger.yaml \ -e /home/stack/inject-trust-anchor.yaml ...
注記これらの環境ファイルの例は、https://github.com/openstack/tripleo-heat-templates/tree/master/environments/ssl を参照してください。
テンプレート enable-internal-tls.j2.yaml
は、overcloud deploy コマンドで enable-internal-tls.yaml
として参照されます。
さらに、enable-tls.yaml
の古いパブリックエンドポイント証明書は certmonger により haproxy-public-tls-certmonger.yaml
に置き換えられますが、このファイルは引き続きアップグレードプロセスで参照される必要があります。