8.7. 在 OpenShift AI 组件中使用自签名证书


有些 OpenShift AI 组件为自签名证书有额外的选项或所需的配置。

8.7.1. 使用带有数据科学项目管道的证书

如果要使用自签名证书,请将它们添加到中央证书颁发机构(CA)捆绑包中,如使用 证书 中所述。

在数据科学项目管道中使用这些证书不需要额外的配置。

8.7.1.1. 仅为数据科学项目提供 CA 捆绑包

执行以下步骤仅为数据科学管道提供证书颁发机构(CA)捆绑包。

流程

  1. 登录 OpenShift。
  2. Workloads ConfigMaps 中,在与目标数据科学项目管道相同的数据科学项目或命名空间中创建一个所需捆绑包的 ConfigMap:

    kind: ConfigMap
    apiVersion: v1
    metadata:
        name: custom-ca-bundle
    data:
        ca-bundle.crt: |
        # contents of ca-bundle.crt
  3. 将以下代码片段添加到底层 Data Science Pipelines Application (DSPA) 的 .spec.apiserver.caBundle 字段中:

    apiVersion: datasciencepipelinesapplications.opendatahub.io/v1
    kind: DataSciencePipelinesApplication
    metadata:
        name: data-science-dspa
    spec:
        ...
        apiServer:
        ...
        cABundle:
            configMapName: custom-ca-bundle
            configMapKey: ca-bundle.crt

Pipeline 服务器 pod 使用更新的捆绑包重新部署,并在新创建的管道 pod 中使用它。

验证

执行以下步骤确认您的 CA 捆绑包已被成功挂载。

  1. 登录 OpenShift 控制台。
  2. 进入与 data Science 项目对应的 OpenShift 项目。
  3. Pods 选项卡。
  4. 点带有 ds-pipeline-dspa-<hash > 前缀的管道服务器 pod。
  5. Terminal
  6. 输入 cat /dsp-custom-certs/dsp-ca.crt
  7. 验证您的 CA 捆绑包是否存在于此文件中。

您还可以使用 CLI 确认您的 CA 捆绑包已被成功挂载:

  1. 在终端窗口中,登录部署了 OpenShift AI 的 OpenShift 集群。

    oc login
  2. 设置 dspa 值:

    dspa=dspa
  3. 设置 dsProject 值,将 $YOUR_DS_PROJECT 替换为您的数据科学项目的名称:

    dsProject=$YOUR_DS_PROJECT
  4. 设置 pod 值:

    pod=$(oc get pod -n ${dsProject} -l app=ds-pipeline-${dspa} --no-headers | awk '{print $1}')
  5. 显示 /dsp-custom-certs/dsp-ca.crt 文件的内容:

    oc -n ${dsProject} exec $pod -- cat /dsp-custom-certs/dsp-ca.crt
  6. 验证您的 CA 捆绑包是否存在于此文件中。

8.7.2. 使用带有工作台的证书

重要

默认情况下,自签名证书应用到您在集中配置证书后创建的工作台,如使用 证书 中所述。要将集中配置的证书应用到现有的工作台,请停止并重启工作台。

自签名证书存储在 /etc/pki/tls/custom-certs/ca-bundle.crt 中。工作台使用环境变量预设,该变量将软件包指向此路径,并涵盖许多流行的 HTTP 客户端软件包。对于默认未包含的软件包,您可以提供此证书路径。例如,对于 kfp 软件包连接到数据科学管道服务器:

from kfp.client import Client

with open(sa_token_file_path, 'r') as token_file:
    bearer_token = token_file.read()

    client = Client(
        host='https://<GO_TO_ROUTER_OF_DS_PROJECT>/',
        existing_token=bearer_token,
        ssl_ca_cert='/etc/pki/tls/custom-certs/ca-bundle.crt'
    )
    print(client.list_experiments())

8.7.2.1. 使用 Elyra 和自签名证书创建数据科学管道

要使用包含 Elyra 扩展以及使用自签名证书的工作台创建管道,请参阅在断开连接的环境中使用 Elyra 执行管道的 Workbench 临时解决方案

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.