8.6. 使用自签名证书访问 S3 兼容对象存储
要使用自签名证书在 OpenShift 集群中部署的对象存储解决方案或数据库,您必须将 OpenShift AI 配置为信任集群的证书颁发机构(CA)。
每个命名空间都有一个名为 kube-root-ca.crt
的 ConfigMap,其中包含内部 API 服务器的 CA 证书。使用以下步骤将 OpenShift AI 配置为信任 kube-root-ca.crt
发布的证书。
或者,您可以使用 OpenShift 控制台添加自定义 CA 捆绑包,如 添加 CA 捆绑包 中所述。
先决条件
- 有 OpenShift 集群的集群管理员特权。
- 您已下载并安装 OpenShift 命令行界面 (CLI)。请参阅安装 OpenShift CLI。
- 您已在 OpenShift 集群中部署了对象存储解决方案或数据库。
流程
在一个终端窗口中,登录到 OpenShift CLI,如下例所示:
oc login api.<cluster_name>.<cluster_domain>:6443 --web
运行以下命令来获取当前的 OpenShift AI 可信 CA 配置并将其存储在新文件中:
oc get dscinitializations.dscinitialization.opendatahub.io default-dsci -o json | jq -r '.spec.trustedCABundle.customCABundle' > /tmp/my-custom-ca-bundles.crt
将集群的
kube-root-ca.crt
ConfigMap 添加到 OpenShift AI 可信 CA 配置中:oc get configmap kube-root-ca.crt -o jsonpath="{['data']['ca\.crt']}" >> /tmp/my-custom-ca-bundles.crt
更新 OpenShift AI 可信 CA 配置,以信任
kube-root-ca.crt
中证书颁发机构发布的证书:oc patch dscinitialization default-dsci --type='json' -p='[{"op":"replace","path":"/spec/trustedCABundle/customCABundle","value":"'"$(awk '{printf "%s\\n", $0}' /tmp/my-custom-ca-bundles.crt)"'"}]'
验证
- 您可以成功部署配置为使用 OpenShift 集群中部署的对象存储解决方案或数据库的组件。例如,配置为使用集群中部署的数据库的管道服务器可以成功启动。
您可以按照 OpenShift AI fraud 检测 教程中的步骤来验证您的新证书配置。运行脚本来安装本地对象存储存储桶并创建连接,然后启用数据科学管道。
有关运行脚本以安装本地对象存储存储桶的更多信息,请参阅 运行脚本来安装本地对象存储存储桶并创建连接。
有关启用数据科学管道的更多信息,请参阅启用数据科学管道。