主页
产品
Red Hat OpenStack Platform
16.2
RHOSP director Operator for OpenShift Container Platform
第 12 章使用 director Operator 为公共端点部署 TLS

第 12 章使用 director Operator 为公共端点部署 TLS

使用 TLS 部署 overcloud，以便为 RHOSP Director Operator 创建公共端点 IP 或 DNS 名称。

前提条件

OpenShift Container Platform 集群可以正常工作。
您已正确安装了 director Operator。
您已在工作站上安装了 oc 命令行工具。

12.1. TLS 用于公共端点 IP 地址
复制链接

要引用公共端点 IP 地址，请将证书添加到 openstackclient pod。

前提条件

使用流程创建证书颁发机构、密钥和证书：在 overcloud 公共端点上启用 SSL/TLS。

流程

创建 ConfigMap 来存储 CA 证书。ConfigMap 是使用 OpenStackControlPlane 对象将 CA 证书添加到 openstackclient pod 的接口：

apiVersion: v1
kind: ConfigMap
metadata:
  name: cacerts
  namespace: openstack
data:
 local_CA: |
    -----BEGIN CERTIFICATE-----
    …
   -----END CERTIFICATE-----
  another_CA: |
    -----BEGIN CERTIFICATE-----
    …
   -----END CERTIFICATE-----

apiVersion: v1
kind: ConfigMap
metadata:
  name: cacerts
  namespace: openstack
data:
 local_CA: |
    -----BEGIN CERTIFICATE-----
    …
   -----END CERTIFICATE-----
  another_CA: |
    -----BEGIN CERTIFICATE-----
    …
   -----END CERTIFICATE-----

Copy to Clipboard

Toggle word wrap

创建 OpenStackControlPlane 并引用 ConfigMap ：

apiVersion: osp-director.openstack.org/v1beta2
kind: OpenStackControlPlane
metadata:
  name: <overcloud>
  namespace: openstack
spec:
  caConfigMap: cacerts

apiVersion: osp-director.openstack.org/v1beta2
kind: OpenStackControlPlane
metadata:
  name: <overcloud>
  namespace: openstack
spec:
  caConfigMap: cacerts

Copy to Clipboard

Toggle word wrap

将 <overcloud > 替换为您的堆栈的名称。

在 ~/custom_environment_files 目录中，创建一个名为 tls-certs.yaml 的文件，其中包含使用 SSLCertificate、SSLIntermediateCertificate、SSLKey 和 CAMap 参数的部署生成的证书。
注意
有关创建证书文件的更多信息，请参阅启用 SSL/TLS。

更新 heatEnvConfigMap，以添加 tls-certs.yaml 文件：

oc create configmap -n openstack heat-env-config --from-file=~/custom_environment_files/ --dry-run=client -o yaml | oc apply -f -

$ oc create configmap -n openstack heat-env-config --from-file=~/custom_environment_files/ --dry-run=client -o yaml | oc apply -f -

Copy to Clipboard

Toggle word wrap

创建 OpenStackConfigGenerator 并添加所需的 heatEnvs 配置文件，以便为公共端点 IP 配置 TLS：

apiVersion: osp-director.openstack.org/v1beta1
kind: OpenStackConfigGenerator
…
spec:
  …
  heatEnvs:
    - ssl/tls-endpoints-public-ip.yaml
    - ssl/enable-tls.yaml
  …
  heatEnvConfigMap: heat-env-config
  tarballConfigMap: tripleo-tarball-config

apiVersion: osp-director.openstack.org/v1beta1
kind: OpenStackConfigGenerator
…
spec:
  …
  heatEnvs:
    - ssl/tls-endpoints-public-ip.yaml
    - ssl/enable-tls.yaml
  …
  heatEnvConfigMap: heat-env-config
  tarballConfigMap: tripleo-tarball-config

Copy to Clipboard

Toggle word wrap

创建 OpenStackConfigGenerator 和新的 OpenStackConfigVersion，使用 OpenStackDeploy 资源针对 overcloud 运行 Ansible playbook：

返回顶部

第 12 章使用 director Operator 为公共端点部署 TLS

12.1. TLS 用于公共端点 IP 地址
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 12 章 使用 director Operator 为公共端点部署 TLS

12.1. TLS 用于公共端点 IP 地址复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 12 章使用 director Operator 为公共端点部署 TLS

12.1. TLS 用于公共端点 IP 地址
复制链接