1.3. 为外部数据库修改 Central 自定义资源

流程

1. 使用 OpenShift Container Platform Web 控制台或终端在部署的命名空间中创建密码 secret。

   • 在 OpenShift Container Platform web 控制台中进入 Workloads Secrets 页面。使用密钥 password 和值创建一个 Key/Value secret，作为纯文本文件的路径，其中包含调配数据库的超级用户密码。

   • 或者，在终端中运行以下命令：

     $ oc create secret generic external-db-password \ 

     1

     
       --from-file=password=<password.txt> 

     2

     Copy to Clipboard Toggle word wrap

     1

     如果使用 Kubernetes，请输入 kubectl 而不是 oc。

     2

     使用纯文本密码的文件的路径替换 password.txt。

2. 进入 OpenShift Container Platform Web 控制台中的 Red Hat Advanced Cluster Security for Kubernetes operator 页面。在顶部导航栏中选择 Central，再选择您要连接到数据库的实例。
3. 进入 YAML 编辑器视图。
4. 对于 db.passwordSecret.name，请指定您在前面的步骤中创建的引用的 secret。例如，external-db-password。
5. 对于 db.connectionString，以 keyword=value 格式指定连接字符串，例如 host=< host> port=5432 database=stackrox user=stackrox sslmode=verify-ca
6. 对于 db.persistence，请删除整个块。

7. 如果需要，您可以通过在顶层 spec 中添加 TLS 块来为 Central 指定证书颁发机构来信任数据库证书，如下例所示：

   • 使用以下配置更新中央自定义资源：

     spec:
       tls:
         additionalCAs:
         - name: db-ca
           content: |
             <certificate>
       central:
         db:
           isEnabled: Default 

     1

     
           connectionString: "host=<host> port=5432 user=<user> sslmode=verify-ca"
           passwordSecret:
             name: external-db-password

     Copy to Clipboard Toggle word wrap

     1

     您不能将 IsEnabled 的值改为 Enabled。

8. 点击 Save。