第 12 章用于 DCN 的 tls-e

您可以在专为分布式计算节点基础架构设计的云上启用 TLS （传输层安全）。您可以选择只启用 TLS 进行公共访问，或使用 TLS-e 在每个网络上启用 TLS，允许对所有内部和外部数据流进行加密。

您无法在边缘堆栈上启用公共访问，因为边缘站点没有公共端点。有关用于公共访问的 TLS 的更多信息，请参阅在 Overcloud 公共端点上启用 SSL/TLS。

12.1. 使用 TLS-e 部署分布式计算节点架构
复制链接

当您使用 Red Hat Identity Manager (IdM)在 Red Hat OpenStack Platform (RHOSP)分布式计算节点架构上配置 TLS-e 时，请基于为 Red Hat Identity Manager 部署的 Red Hat Enterprise Linux 版本执行以下操作。

注意

由于中央位置和边缘位置设计的区别，请不要在边缘堆栈中包含以下文件：

tls-everywhere-endpoints-dns.yaml: 在边缘站点中会忽略此文件，它设置的端点会被从中央堆栈导出的端点覆盖。
haproxy-public-tls-certmonger.yaml: 此文件导致部署失败，因为边缘没有公共端点。

流程

如果您正在运行 Red Hat Enterprise Linux (RHEL) 8.2，则必须将 RHEL 升级到 8.4，然后按照 RHEL 8.4 中的说明进行操作。
如果您正在运行 RHEL 8.4，请修改 ipa-ext.conf 和 ipa-options-ext.conf 文件：
1. 在 ipa-ext.conf 文件中的访问控制列表(ACL)中添加可信子网：
  acl "trusted_network" { localnets; localhost; 192.168.24.0/24; 192.168.25.0/24; };
  Copy to Clipboard Toggle word wrap
2. 在 /etc/named/ipa-options-ext.conf 文件中允许递归和查询缓存：
  allow-recursion { trusted_network; }; allow-query-cache { trusted_network; };
  Copy to Clipboard Toggle word wrap
3. 重启 'named-pkcs11 服务：
  systemctl restart named-pkcs11
  Copy to Clipboard Toggle word wrap

如果您正在运行 RHEL 7 版本，您必须手动为您的域添加访问控制指令。

在 Red Hat Identity Manager 中运行以下命令以配置 ACI。

ADMIN_PASSWORD=<redhat_01>
DOMAIN_LEVEL_1=<local>
DOMAIN_LEVEL_2=<redhat>

cat << EOF | ldapmodify -x -D "cn=Directory Manager" -w ${ADMIN_PASSWORD}
dn: cn=dns,dc=${DOMAIN_LEVEL_2},dc=${DOMAIN_LEVEL_1}
changetype: modify
add: aci
aci: (targetattr = "aaaarecord || arecord || cnamerecord || idnsname || objectclass || ptrrecord")(targetfilter = "(&(objectclass=idnsrecord)(|(aaaarecord=)(arecord=)(cnamerecord=)(ptrrecord=)(idnsZoneActive=TRUE)))")(version 3.0; acl "Allow hosts to read DNS A/AAA/CNAME/PTR records"; allow (read,search,compare) userdn = "ldap:///fqdn=*,cn=computers,cn=accounts,dc=${DOMAIN_LEVEL_2},dc=${DOMAIN_LEVEL_1}";)
EOF

ADMIN_PASSWORD=<redhat_01>
DOMAIN_LEVEL_1=<local>
DOMAIN_LEVEL_2=<redhat>

cat << EOF | ldapmodify -x -D "cn=Directory Manager" -w ${ADMIN_PASSWORD}
dn: cn=dns,dc=${DOMAIN_LEVEL_2},dc=${DOMAIN_LEVEL_1}
changetype: modify
add: aci
aci: (targetattr = "aaaarecord || arecord || cnamerecord || idnsname || objectclass || ptrrecord")(targetfilter = "(&(objectclass=idnsrecord)(|(aaaarecord=)(arecord=)(cnamerecord=)(ptrrecord=)(idnsZoneActive=TRUE)))")(version 3.0; acl "Allow hosts to read DNS A/AAA/CNAME/PTR records"; allow (read,search,compare) userdn = "ldap:///fqdn=*,cn=computers,cn=accounts,dc=${DOMAIN_LEVEL_2},dc=${DOMAIN_LEVEL_1}";)
EOF

Copy to Clipboard

Toggle word wrap

将 <redhat_01 > 替换为您要设置的管理密码。
将 <local > 替换为顶级域。
将 <redhat > 替换为第二级域。

其他资源

使用 Ansible 实施 TLS-e

返回顶部

第 12 章用于 DCN 的 tls-e

12.1. 使用 TLS-e 部署分布式计算节点架构
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 12 章 用于 DCN 的 tls-e

12.1. 使用 TLS-e 部署分布式计算节点架构复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 12 章用于 DCN 的 tls-e

12.1. 使用 TLS-e 部署分布式计算节点架构
复制链接