1.4. 外部負荷分散のための SSL の設定
外部ロードバランサーの暗号化されたエンドポイントを設定するには、エンドポイントへのアクセスに SSL を有効にする追加の環境ファイルを作成し、外部の負荷分散サーバーに SSL 証明書および鍵のコピーをインストールします。デフォルトでは、オーバークラウドは暗号化されていないエンドポイントサービスを使用します。
前提条件
IP アドレスまたはドメイン名を使用してパブリックエンドポイントにアクセスする場合は、以下の環境ファイルのいずれかを選択してオーバークラウドのデプロイメントにしていること。
-
ドメインネームサービス (DNS) を使用してパブリックエンドポイントにアクセスするには、ファイル
/usr/share/openstack-tripleo-heat-templates/environments/tls-endpoints-public-dns.yaml
を使用します。 -
IP アドレスを使用してパブリックエンドポイントにアクセスするには、ファイル
/usr/share/openstack-tripleo-heat-templates/environments/tls-endpoints-public-ip.yaml
を使用します。
-
ドメインネームサービス (DNS) を使用してパブリックエンドポイントにアクセスするには、ファイル
手順
自己署名証明書を使用する場合、または証明書の署名者がオーバークラウドイメージのデフォルトのトラストストアにない場合は、heat テンプレートコレクションから
inject-trust-anchor.yaml
環境ファイルをコピーして、証明書をオーバークラウドイメージに注入します。$ cp -r /usr/share/openstack-tripleo-heat-templates/environments/inject-trust-anchor.yaml ~/templates/
ファイルをテキストエディターで開き、ルート認証局ファイルの内容を
SSLRootCertificate
パラメーターにコピーします。parameter_defaults: SSLRootCertificate: | -----BEGIN CERTIFICATE----- MIIDgzCCAmugAwIBAgIJAKk46qw6ncJaMA0GCSqGSIb3DQEBCwUAMFgxCzAJBgNV ... sFW3S2roS4X0Af/kSSD8mlBBTFTCMBAj6rtLBKLaQbIxEpIzrgvp -----END CERTIFICATE-----
重要この認証局の内容に新しく追加する行は、すべて同じレベルにインデントする必要があります。
OS::TripleO::NodeTLSCAData:
パラメーターのリソース URL を絶対 URL に変更します。resource_registry: OS::TripleO::NodeTLSCAData: /usr/share/openstack-tripleo-heat-templates/puppet/extraconfig/tls/ca-inject.yaml
オプション: DNS ホスト名を使用して SSL/TLS 経由でオーバークラウドにアクセスする場合は、新しい環境ファイル
~/templates/cloudname.yaml
を作成し、オーバークラウドエンドポイントのホスト名を定義します。parameter_defaults: CloudName: overcloud.example.com
overcloud.example.com
を、オーバークラウドエンドポイントの DNS ホスト名に置き換えてください。