4.6. 在集群间配置 SSL 访问
在 primary 和 secondary 集群间配置网络 SSL 访问,因此元数据可以以一个安全的方式保持在不同的集群中的 Multicloud Gateway (MCG) 对象存储桶
,以及保持在 Hub 集群中验证对对象存储桶的访问。
注意
如果所有 OpenShift 集群都为您的环境使用签名的有效证书集进行部署,则可以跳过本节。
步骤
提取主受管集群的入口证书,并将输出保存到
primary.crt
。$ oc get cm default-ingress-cert -n openshift-config-managed -o jsonpath="{['data']['ca-bundle\.crt']}" > primary.crt
提取二级受管集群的入口证书,并将输出保存到
secondary.crt
。$ oc get cm default-ingress-cert -n openshift-config-managed -o jsonpath="{['data']['ca-bundle\.crt']}" > secondary.crt
创建新的 ConfigMap 文件,以使用文件名
cm-clusters-crt.yaml
来保存远程集群的证书捆绑包。注意如本示例文件所示,每个集群可能有超过三个证书。另外,请确保在从之前创建的
primary.crt
和secondary.crt
文件中复制并粘贴后,证书内容会被正确缩进。apiVersion: v1 data: ca-bundle.crt: | -----BEGIN CERTIFICATE----- <copy contents of cert1 from primary.crt here> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <copy contents of cert2 from primary.crt here> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <copy contents of cert3 primary.crt here> -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- <copy contents of cert1 from secondary.crt here> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <copy contents of cert2 from secondary.crt here> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <copy contents of cert3 from secondary.crt here> -----END CERTIFICATE----- kind: ConfigMap metadata: name: user-ca-bundle namespace: openshift-config
在 Primary 受管集群, Secondary 受管集群, 和 Hub 集群 中创建 ConfigMap。
$ oc create -f cm-clusters-crt.yaml
输出示例:
configmap/user-ca-bundle created
对主受管集群、二级受管集群和 Hub 集群上的默认代理资源进行补丁。
$ oc patch proxy cluster --type=merge --patch='{"spec":{"trustedCA":{"name":"user-ca-bundle"}}}'
输出示例:
proxy.config.openshift.io/cluster patched