Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

5.2. 注入自定义 CA 证书

当集群管理员使用 ConfigMap 向集群添加自定义 CA 证书时,Cluster Network Operator 会将用户提供的证书和系统 CA 证书合并为一个捆绑包(bundle)。您可以将这个合并捆绑包注入 Operator Lifecycle Manager (OLM) 上运行的 Operator 中,如果您有一个中间人(man-in-the-middle)HTTPS 代理,这将会有用。

先决条件

  • 使用具有 cluster-admin 权限的账户访问 OpenShift Container Platform 集群。
  • 使用 ConfigMap 添加自定义 CA 证书到集群。
  • 在 OLM 上安装并运行所需的 Operator。

流程

  1. 在存在 Operator 订阅的命名空间中创建一个空 ConfigMap,并包含以下标签: 

    apiVersion: v1
kind: ConfigMap
metadata:
  name: trusted-ca
    1 
    
  labels:
    config.openshift.io/inject-trusted-cabundle: "true"
    2
    Copy to Clipboard Toggle word wrap
    1
    ConfigMap 的名称。
    2
    请求 Cluster Network Operator 注入合并的捆绑包。

    创建此 ConfigMap 后,ConfigMap 会立即被合并捆绑包的证书内容填充。

  2. 更新 Operator 的订阅对象,使其包含 spec.config 部分,该部分可将 trusted-ca ConfigMap 作为卷挂载到需要自定义 CA 的 Pod 中的各个容器: 

    kind: Subscription
metadata:
  name: my-operator
spec:
  package: etcd
  channel: alpha
  config:
    1 
    
  - selector:
      matchLabels:
        <labels_for_pods>
    2 
    
    volumes:
    3 
    
    - name: trusted-ca
      configMap:
        name: trusted-ca
        items:
          - key: ca-bundle.crt
    4 
    
            path: tls-ca-bundle.pem
    5 
    
    volumeMounts:
    6 
    
    - name: trusted-ca
      mountPath: /etc/pki/ca-trust/extracted/pem
      readOnly: true
    Copy to Clipboard Toggle word wrap
    1
    如果不存在,请添加 config 部分。
    2
    指定标签以匹配 Operator 拥有的 pod。
    3
    创建一个 trusted-ca 卷。
    4
    CA-bundle.crt 需要作为 ConfigMap 密钥。
    5
    TLS-ca-bundle.pem 需要作为 ConfigMap 的路径。
    6
    创建一个 trusted-ca 卷挂载。
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat