第 11 章 在 Eventing 中配置 TLS 加密
使用传输加密功能,您可以使用 传输层安全 (TLS)通过安全和加密的 HTTPS 连接传输数据和事件。
Eventing 的 OpenShift Serverless 传输加密只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。
有关红帽技术预览功能支持范围的更多信息,请参阅技术预览功能支持范围。
transport-encryption 功能标记是一个 enum 配置,用于定义可寻址的配置,如 Broker、Channel 和 Sink 接受事件。它根据所选设置控制地址是否必须通过 HTTP 或 HTTPS 接受事件。
transport-encryption 的可能值如下:
| value | 描述 |
|---|---|
|
|
|
|
|
|
|
|
|
11.1. 为 Eventing 创建自助化的 ClusterIssuer 资源
ClusterIssuers 是代表证书颁发机构(CA)的 Kubernetes 资源,它可以通过遵循证书签名请求来生成签名证书。所有 cert-manager 证书都需要在就绪条件中引用的签发者尝试遵循请求。如需了解更多详细信息,请参阅 Issuer。
为了简单起见,这个过程使用 SelfSigned issuer 作为 root 证书颁发机构。有关 SelfSigned issuer effect 和 limitations 的详情,请参阅 SelfSigned issuers。如果您使用的是自定义公钥基础架构 (PKI) ,您必须将其配置为在集群中识别其私有签名的 CA 证书。有关 cert-manager 的详情,请参阅 证书颁发机构(CA)。您可以使用可用于集群本地服务的任何其他签发者。
先决条件
- 在 OpenShift Container Platform 上具有集群管理员权限,或者具有 Red Hat OpenShift Service on AWS 或 OpenShift Dedicated 的集群或专用管理员权限。
- 已安装 OpenShift Serverless Operator。
- 您已为 Red Hat OpenShift 安装了 cert-manager Operator。
-
已安装 OpenShift (
oc) CLI。
流程
创建
SelfSignedClusterIssuer资源,如下所示:apiVersion: cert-manager.io/v1 kind: ClusterIssuer metadata: name: knative-eventing-selfsigned-issuer spec: selfSigned: {}运行以下命令来应用
ClusterIssuer资源:$ oc apply -f <filename>
使用
SelfSignedClusterIssuer资源创建根证书,如下所示:apiVersion: cert-manager.io/v1 kind: Certificate metadata: name: knative-eventing-selfsigned-ca namespace: cert-manager 1 spec: secretName: knative-eventing-ca 2 isCA: true commonName: selfsigned-ca privateKey: algorithm: ECDSA size: 256 issuerRef: name: knative-eventing-selfsigned-issuer kind: ClusterIssuer group: cert-manager.io
运行以下命令来应用
证书资源:$ oc apply -f <filename>
