第 6 章 续订 AMQ Interconnect 证书
当证书过期时,您必须定期更新保护 Red Hat OpenStack Platform (RHOSP)和 Service Telemetry Framework (STF)之间的 AMQ Interconnect 连接的 CA 证书。续订由 Red Hat OpenShift Container Platform 中的 cert-manager 组件自动处理,但您必须手动将更新的证书复制到 RHOSP 节点。
6.1. 检查已过期的 AMQ Interconnect CA 证书 复制链接链接已复制到粘贴板!
当 CA 证书过期 AMQ Interconnect 连接时,但如果它们中断,则无法重新连接。最终,您会发现 Red Hat OpenStack Platform (RHOSP)路由器中的一些或全部连接失败,显示两端的错误,以及您的 CA 证书中的到期(或"Not After"字段将位于过去。
流程
- 登录 Red Hat OpenShift Container Platform。
进入
service-telemetry
命名空间:oc project service-telemetry
$ oc project service-telemetry
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 检查部分或所有路由器连接是否已失败:
oc exec -it $(oc get po -l application=default-interconnect -o jsonpath='{.items[0].metadata.name}') -- qdstat --connections | grep Router | wc
$ oc exec -it $(oc get po -l application=default-interconnect -o jsonpath='{.items[0].metadata.name}') -- qdstat --connections | grep Router | wc 0 0 0
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在 Red Hat OpenShift Container Platform 托管的 AMQ Interconnect 日志中检查这个错误:
oc logs -l application=default-interconnect | tail
$ oc logs -l application=default-interconnect | tail [...] 2022-11-10 20:51:22.863466 +0000 SERVER (info) [C261] Connection from 10.10.10.10:34570 (to 0.0.0.0:5671) failed: amqp:connection:framing-error SSL Failure: error:140940E5:SSL routines:ssl3_read_bytes:ssl handshake failure
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 登录到您的 RHOSP undercloud。
在连接失败的节点的 RHOSP-hosted AMQ Interconnect 日志中检查这个错误:
ssh controller-0.ctlplane -- sudo tail /var/log/containers/metrics_qdr/metrics_qdr.log
$ ssh controller-0.ctlplane -- sudo tail /var/log/containers/metrics_qdr/metrics_qdr.log [...] 2022-11-10 20:50:44.311646 +0000 SERVER (info) [C137] Connection to default-interconnect-5671-service-telemetry.apps.mycluster.com:443 failed: amqp:connection:framing-error SSL Failure: error:0A000086:SSL routines::certificate verify failed
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 通过检查 RHOSP 节点上的文件来确认 CA 证书已过期:
ssh controller-0.ctlplane -- cat /var/lib/config-data/puppet-generated/metrics_qdr/etc/pki/tls/certs/CA_sslProfile.pem | openssl x509 -text | grep "Not After" Not After : Nov 10 20:31:16 2022 GMT date Mon Nov 14 11:10:40 EST 2022
$ ssh controller-0.ctlplane -- cat /var/lib/config-data/puppet-generated/metrics_qdr/etc/pki/tls/certs/CA_sslProfile.pem | openssl x509 -text | grep "Not After" Not After : Nov 10 20:31:16 2022 GMT $ date Mon Nov 14 11:10:40 EST 2022
Copy to Clipboard Copied! Toggle word wrap Toggle overflow