Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

4.13. 保护集群连接

集群中的代理之间的内部连接使用内部连接器和接收器,它们都名为 artemis。您可以使用传输层安全(TLS)协议启用 SSL 来保护集群中代理之间的连接。

在启用了 SSL 的 acceptor 上,您可以指定一个 secret,其中包含集群中的所有代理的通用 TLS 证书。在启用了 SSL 的连接器中,您可以指定一个信任存储,其中包含 TLS 证书的公钥。每个代理的信任存储中都需要公钥,因此代理可以在建立 TLS 连接时信任集群中的其他代理。

以下示例演示了如何使用自签名证书保护集群中代理之间的内部连接。

流程

  1. 生成自签名 TLS 证书,并将其添加到密钥存储文件中。

    • 在证书的 Subject Alternative Name (SAN)字段中,指定一个通配符 DNS 名称以匹配集群中的所有代理,如下例所示。这个示例基于使用在 test 命名空间中部署的名为 ex-aao 的 CR。 

      $ keytool -storetype jks -keystore server-keystore.jks -storepass artemis -keypass artemis -alias server -genkey -keyalg "RSA" -keysize 2048 -dname "CN=AMQ Server, OU=Artemis, O=ActiveMQ, L=AMQ, S=AMQ, C=AMQ" -validity 365 -ext bc=ca:false -ext eku=sA -ext san=dns:*.ex-aao-hdls-svc.test.svc.cluster.local

    • 如果证书不支持使用通配符 DNS 名称,您可以在集群中所有代理 pod 的 SAN 字段中包含以逗号分隔的 DNS 名称列表。例如: 

      keytool -storetype jks -keystore server-keystore.jks -storepass artemis -keypass artemis -alias server -genkey -keyalg "RSA" -keysize 2048 -dname "CN=AMQ Server, OU=Artemis, O=ActiveMQ, L=AMQ, S=AMQ, C=AMQ" -validity 365 -ext bc=ca:false -ext eku=sA -ext san=dns:ex-aao-ss-0.ex-aao-hdls-svc.test.svc.cluster.local,dns:ex-aao-ss-1.ex-aao-hdls-svc.test.svc.cluster.local
    • 如果 TLS 证书不支持使用 DNS 名称,则必须在 ActiveMQArtemis CR 中禁用主机验证,如下所述。

  2. 从密钥存储文件导出 TLS 证书的公钥,以便将其导入到信任存储文件中。例如: 

    $ keytool -storetype jks -keystore server-keystore.jks -storepass artemis -alias server -exportcert -rfc > server.crt

  3. 将 TLS 证书的公钥导入到信任存储文件中,以便集群中的其他代理可以信任证书。例如: 

    $ keytool -storetype jks -keystore server-truststore.jks -storepass artemis -keypass artemis -importcert -alias server -file server.crt -noprompt

  4. 创建一个 secret,以存储密钥存储和信任存储文件及其关联的密码。例如: 

    oc create secret generic artemis-ssl-secret --namespace test --from-file=broker.ks=server-keystore.jks --from-file=client.ts=server-truststore.jks --from-literal=keyStorePassword=artemis --from-literal=trustStorePassword=artemis

  5. 编辑代理部署的 ActiveMQArtemis CR,并添加名为 artemis 的内部接受者。在 artemis acceptor 中,将 sslEnabled 属性设置为 true,并指定您在 sslSecret 属性中创建的 secret 名称。例如: 

    spec:
  ..
  deploymentPlan:
    size: 2
  acceptors:
  - name: artemis
    port: 61616
    sslEnabled: true
    sslSecret: artemis-ssl-secret
  ..

  6. artemis 连接器启用 SSL,供集群中的每个代理用来连接到集群中的其他代理。使用 brokerProperties 属性启用 SSL,并指定包含 TLS 证书公钥的信任存储文件的路径和凭证。 

    spec:
  ..
  deploymentPlan:
    size: 2
  acceptors:
  - name: artemis
    port: 61616
    sslEnabled: true
    sslSecret: artemis-ssl-secret
  brokerProperties:
  - 'connectorConfigurations.artemis.params.sslEnabled=true'
  - 'connectorConfigurations.artemis.params.trustStorePath=/etc/artemis-ssl-secret-volume/client.ts'
  - 'connectorConfigurations.artemis.params.trustStorePassword=artemis'
  ..
    connectorConfigurations.artemis.params.trustStorePath
    这个值必须与代理 pod 上的 truststore 文件 client.ts 匹配。secret 中的 truststore 文件以及附带的密码文件挂载到每个代理 pod 上的 /etc/<secret name>-volume 目录中。前面的示例指定信任存储的位置,该存储位于名为 artemis-ssl-secret 的 secret 中。

  7. 如果 TLS 证书不支持使用 DNS 名称,请使用 brokerProperties 属性来禁用主机验证。例如: 

    spec:
  ..
  brokerProperties:
  ..
  - 'connectorConfigurations.artemis.params.verifyHost=false'
  ..
  8. 保存 CR。
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部