12.2. TLS 用于公共端点 DNS 名称

流程

1. 创建 ConfigMap 来存储 CA 证书。ConfigMap 是使用 OpenStackControlPlane 对象向 openstackclient pod 添加额外 CA 证书的接口：

   apiVersion: v1
   kind: ConfigMap
   metadata:
     name: cacerts
     namespace: openstack
   data:
    local_CA: |
       -----BEGIN CERTIFICATE-----
       …
      -----END CERTIFICATE-----
     another_CA: |
       -----BEGIN CERTIFICATE-----
       …
      -----END CERTIFICATE-----

2. 创建 OpenStackControlPlane 并引用 ConfigMap ：

   apiVersion: osp-director.openstack.org/v1beta2
   kind: OpenStackControlPlane
   metadata:
     name: <overcloud>
     namespace: openstack
   spec:
     caConfigMap: cacerts

   • 将 <overcloud > 替换为您的堆栈的名称。

3. 在 ~/custom_environment_files 目录中，创建一个名为 tls-certs.yaml 的文件，其中包含使用 SSLCertificate、SSLIntermediateCertificate、SSLKey 和 CAMap 参数的部署生成的证书。

   注意

   有关创建证书文件的更多信息，请参阅启用 SSL/TLS。

4. 更新 heatEnvConfigMap，以添加 tls-certs.yaml 文件：

   $ oc create configmap -n openstack heat-env-config --from-file=~/custom_environment_files/ --dry-run=client -o yaml | oc apply -f -

5. 创建 OpenStackConfigGenerator 并添加所需的 heatEnvs 配置文件，以便为公共端点 DNS 名称配置 TLS：

   apiVersion: osp-director.openstack.org/v1beta1
   kind: OpenStackConfigGenerator
   …
   spec:
     …
     heatEnvs:
       - ssl/tls-endpoints-public-dns.yaml
       - ssl/enable-tls.yaml
     …
     heatEnvConfigMap: heat-env-config
     tarballConfigMap: tripleo-tarball-config

6. 创建 OpenStackConfigGenerator 和新的 OpenStackConfigVersion，使用 OpenStackDeploy 资源针对 overcloud 运行 Ansible playbook：

   • 注册 overcloud 的操作系统。
   • 获取最新的 OpenStackConfig 版本。
   • 使用 director Operator 应用 overcloud 配置。