8.6. 使用自签名证书访问 S3 兼容对象存储


要使用自签名证书在 OpenShift 集群中部署的对象存储解决方案或数据库,您必须将 OpenShift AI 配置为信任集群的证书颁发机构(CA)。

每个命名空间都有一个名为 kube-root-ca.crt 的 ConfigMap,其中包含内部 API 服务器的 CA 证书。使用以下步骤将 OpenShift AI 配置为信任 kube-root-ca.crt 发布的证书。

或者,您可以使用 OpenShift 控制台添加自定义 CA 捆绑包,如 添加 CA 捆绑包 中所述。

先决条件

  • 有 OpenShift 集群的集群管理员特权。
  • 您已下载并安装 OpenShift 命令行界面 (CLI)。请参阅安装 OpenShift CLI
  • 您已在 OpenShift 集群中部署了对象存储解决方案或数据库。

流程

  1. 在一个终端窗口中,登录到 OpenShift CLI,如下例所示:

    oc login api.<cluster_name>.<cluster_domain>:6443 --web
  2. 运行以下命令来获取当前的 OpenShift AI 可信 CA 配置并将其存储在新文件中:

    oc get dscinitializations.dscinitialization.opendatahub.io default-dsci -o json | jq -r '.spec.trustedCABundle.customCABundle' > /tmp/my-custom-ca-bundles.crt
  3. 将集群的 kube-root-ca.crt ConfigMap 添加到 OpenShift AI 可信 CA 配置中:

    oc get configmap kube-root-ca.crt -o jsonpath="{['data']['ca\.crt']}" >> /tmp/my-custom-ca-bundles.crt
  4. 更新 OpenShift AI 可信 CA 配置,以信任 kube-root-ca.crt 中证书颁发机构发布的证书:

    oc patch dscinitialization default-dsci --type='json' -p='[{"op":"replace","path":"/spec/trustedCABundle/customCABundle","value":"'"$(awk '{printf "%s\\n", $0}' /tmp/my-custom-ca-bundles.crt)"'"}]'

验证

  • 您可以成功部署配置为使用 OpenShift 集群中部署的对象存储解决方案或数据库的组件。例如,配置为使用集群中部署的数据库的管道服务器可以成功启动。
注意

您可以按照 OpenShift AI fraud 检测 教程中的步骤来验证您的新证书配置。运行脚本来安装本地对象存储存储桶并创建连接,然后启用数据科学管道。

有关运行脚本以安装本地对象存储存储桶的更多信息,请参阅 运行脚本来安装本地对象存储存储桶并创建连接

有关启用数据科学管道的更多信息,请参阅启用数据科学管道

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.