8.2. 添加 CA 捆绑包
将证书颁发机构(CA)捆绑包添加到 OpenShift AI 中有两种方法。您可以使用以下任一方法:
-
对于依赖自签名证书的 OpenShift 集群,您可以将这些自签名证书添加到集群范围的证书颁发机构(CA)捆绑包(
ca-bundle.crt
),并使用 Red Hat OpenShift AI 中的 CA 捆绑包。要使用此方法,请以集群管理员身份登录到 OpenShift,并按照 在安装过程中配置集群范围代理 中所述的步骤进行操作。 -
您可以在与集群范围捆绑包分开的自定义 CA 捆绑包中使用自签名证书(
odh-ca-bundle.crt
)。要使用这个方法,请按照本节中的步骤操作。
先决条件
-
您有 admin 访问权限,访问 OpenShift 集群中的
DSCInitialization
资源。 -
已安装 OpenShift 命令行界面(
oc
),如 安装 OpenShift CLI 中所述。 - 您在新的 Red Hat OpenShift AI 安装中工作。如果您升级了 Red Hat OpenShift AI,请参阅升级后添加 CA 捆绑包。
流程
- 登录 OpenShift。
-
点 Operators
Installed Operators,然后点 Red Hat OpenShift AI Operator。 - 点 DSC 初始化选项卡。
- 点 default-dsci 对象。
- 点 YAML 标签。
在
spec
部分中,将自定义证书添加到trustedCABundle
的customCABundle
字段中,如下例所示:spec: trustedCABundle: managementState: Managed customCABundle: | -----BEGIN CERTIFICATE----- examplebundle123 -----END CERTIFICATE-----
- 点击 Save。
验证
如果使用集群范围的 CA 捆绑包,请运行以下命令验证所有非保留命名空间是否包含
odh-trusted-ca-bundle
ConfigMap:$ oc get configmaps --all-namespaces -l app.kubernetes.io/part-of=opendatahub-operator | grep odh-trusted-ca-bundle
如果您使用自定义 CA 捆绑包,请运行以下命令来验证非保留命名空间是否包含
odh-trusted-ca-bundle
ConfigMap,并且 ConfigMap 包含您的customCABundle
值。在以下命令中,example-namespace 是非保留的命名空间,examplebundle123 是 customCABundle 值。$ oc get configmap odh-trusted-ca-bundle -n example-namespace -o yaml | grep examplebundle123