第 6 章 配置加密
使用 Red Hat OpenShift 服务证书或自定义 TLS 证书加密客户端和 Data Grid pod 之间的连接。
6.1. 使用 Red Hat OpenShift 服务证书加密
Data Grid Operator 会自动生成由 Red Hat OpenShift 服务 CA 签名的 TLS 证书。然后,Data Grid Operator 将证书和密钥存储在 secret 中,以便您可以检索它们并用于远程客户端。
如果 Red Hat OpenShift 服务 CA 可用,Data Grid Operator 会将以下 spec.security.endpointEncryption 配置添加到 Infinispan CR 中:
spec:
security:
endpointEncryption:
type: Service
certServiceName: service.beta.openshift.io
certSecretName: example-infinispan-cert-secret| 字段 | 描述 |
|---|---|
|
| 指定提供 TLS 证书的服务。 |
|
|
使用 PEM 格式的服务证书和密钥指定 secret。默认为 < |
服务证书使用 Data Grid 集群的内部 DNS 名称作为通用名称(CN),例如:
subject: CN = example-infinispan.mynamespace.svc
因此,服务证书只能在 OpenShift 中完全信任。如果要加密与 OpenShift 外部运行的客户端的连接,您应该使用自定义 TLS 证书。
服务证书在一年内有效,并在过期前自动替换。
