3.8. 在集群中配置 SSL 访问

流程

1. 提取主受管集群的入口证书，并将输出保存到 primary.crt。

   $ oc get cm default-ingress-cert -n openshift-config-managed -o jsonpath="{['data']['ca-bundle\.crt']}" > primary.crt

2. 提取二级受管集群的入口证书，并将输出保存到 secondary.crt。

   $ oc get cm default-ingress-cert -n openshift-config-managed -o jsonpath="{['data']['ca-bundle\.crt']}" > secondary.crt

3. 创建新的 ConfigMap 文件，以使用文件名 cm-clusters-crt.yaml 来保存远程集群的证书捆绑包。

   注意

   如本示例文件所示，每个集群可能有超过三个证书。另外，请确保在从之前创建的 primary.crt 和 secondary.crt 文件中复制并粘贴后，证书内容会被正确缩进。

   apiVersion: v1
   data:
     ca-bundle.crt: |
       -----BEGIN CERTIFICATE-----
       <copy contents of cert1 from primary.crt here>
       -----END CERTIFICATE-----
   
       -----BEGIN CERTIFICATE-----
       <copy contents of cert2 from primary.crt here>
       -----END CERTIFICATE-----
   
       -----BEGIN CERTIFICATE-----
       <copy contents of cert3 primary.crt here>
       -----END CERTIFICATE----
   
       -----BEGIN CERTIFICATE-----
       <copy contents of cert1 from secondary.crt here>
       -----END CERTIFICATE-----
   
       -----BEGIN CERTIFICATE-----
       <copy contents of cert2 from secondary.crt here>
       -----END CERTIFICATE-----
   
       -----BEGIN CERTIFICATE-----
       <copy contents of cert3 from secondary.crt here>
       -----END CERTIFICATE-----
   kind: ConfigMap
   metadata:
     name: user-ca-bundle
     namespace: openshift-config

4. 在主受管集群、二级受管集群 和 Hub 集群 上创建 ConfigMap。

   $ oc create -f cm-clusters-crt.yaml

   输出示例：

   configmap/user-ca-bundle created

5. 对 主受管集群、二级受管集群 和 Hub 集群上的 默认代理资源进行补丁。

   $ oc patch proxy cluster --type=merge  --patch='{"spec":{"trustedCA":{"name":"user-ca-bundle"}}}'

   输出示例：

   proxy.config.openshift.io/cluster patched