3.3. Load-balancing サービスの証明書および鍵の設定
Red Hat OpenStack Platform (RHOSP) director を設定して証明書およびキーを生成するか、独自の証明書を指定することができます。必要なプライベート認証局を自動的に作成し、必要な証明書を発行するように director を設定します。これらの証明書は Load-balancing サービス (octavia) の内部通信専用で、ユーザーに公開されません。
RHOSP director は証明書およびキーを生成し、有効期限が切れる前にそれらを自動的に更新します。独自の証明書を使用する場合は、証明書を更新することを覚えている必要があります。
手動で生成された証明書から自動生成された証明書への切り替えは、RHOSP director ではサポートされません。ただし、Controller ノード上の既存の証明書 (/var/lib/config-data/puppet-generated/octavia/etc/octavia/certs
ディレクトリー内) を削除して、オーバークラウドを更新することで、証明書を強制的に再作成することができます。
独自の証明書および鍵を使用する必要がある場合は、以下の手順を実行します。
前提条件
- 「Load-balancing サービスのデフォルト設定の変更」を読んで理解している (関連情報のリンクを参照してください)。
手順
-
アンダークラウドホストに
stack
ユーザーとしてログインします。 source コマンドでアンダークラウドの認証情報ファイルを読み込みます。
$ source ~/stackrc
YAML カスタム環境ファイルを作成します。
例
$ vi /home/stack/templates/my-octavia-environment.yaml
YAML 環境ファイルに以下のパラメーターを追加し、ご自分のサイトに適した値を設定します。
OctaviaCaCert
:Octavia が証明書を生成するために使用する CA の証明書。
OctaviaCaKey
:生成された証明書の署名に使用するプライベート CA 鍵
OctaviaCaKeyPassphrase
:上記のプライベート CA 鍵で使用するパスフレーズ
OctaviaClientCert
:コントローラー用に octavia CA が発行するクライアント証明書および暗号化されていない鍵
OctaviaGenerateCerts
:証明書および鍵の自動生成の有効 (true) または無効 (false) を director に指示するブール値
重要OctaviaGenerateCerts
を false に設定する必要があります。例
parameter_defaults: OctaviaCaCert: | -----BEGIN CERTIFICATE----- MIIDgzCCAmugAwIBAgIJAKk46qw6ncJaMA0GCSqGSIb3DQEBCwUAMFgxCzAJBgNV [snip] sFW3S2roS4X0Af/kSSD8mlBBTFTCMBAj6rtLBKLaQbIxEpIzrgvp -----END CERTIFICATE----- OctaviaCaKey: | -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED [snip] -----END RSA PRIVATE KEY-----[ OctaviaClientCert: | -----BEGIN CERTIFICATE----- MIIDmjCCAoKgAwIBAgIBATANBgkqhkiG9w0BAQsFADBcMQswCQYDVQQGEwJVUzEP [snip] 270l5ILSnfejLxDH+vI= -----END CERTIFICATE----- -----BEGIN PRIVATE KEY----- MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQDU771O8MTQV8RY [snip] KfrjE3UqTF+ZaaIQaz3yayXW -----END PRIVATE KEY----- OctaviaCaKeyPassphrase: b28c519a-5880-4e5e-89bf-c042fc75225d OctaviaGenerateCerts: false [rest of file snipped]
コア heat テンプレート、環境ファイル、およびこの新しいカスタム環境ファイルを指定して、
openstack overcloud deploy
コマンドを実行します。重要後で実行される環境ファイルで定義されているパラメーターとリソースが優先されることになるため、環境ファイルの順序は重要となります。
例
$ openstack overcloud deploy --templates \ -e <your_environment_files> \ -e /usr/share/openstack-tripleo-heat-templates/environments/services/octavia.yaml \ -e /home/stack/templates/my-octavia-environment.yaml
関連情報
- 「Load-balancing サービスのデフォルト設定の変更」
- Red Hat OpenStack Platform デプロイメントのカスタマイズ ガイドの 環境ファイル
- Red Hat OpenStack Platform デプロイメントのカスタマイズ ガイドの オーバークラウド作成に環境ファイルを含める