Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 12 章 使用 director Operator 为公共端点部署 TLS

使用 TLS 部署 overcloud,为 director Operator (OSPdO)创建公共端点 IP 或 DNS 名称。

先决条件

  • 您已在正常运行的 Red Hat OpenShift Container Platform (RHOCP)集群上安装了 OSPdO。
  • 您已在工作站上安装了 oc 命令行工具。
  • 您已创建了证书颁发机构、密钥和证书。如需更多信息,请参阅在 overcloud 公共端点中启用 SSL/TLS

12.1. TLS 用于公共端点 IP 地址
复制链接

要引用公共端点 IP 地址,请通过创建 ConfigMap 资源来存储 CA 证书,然后在 OpenStackControlPlane 资源中引用该 ConfigMap 资源,将 CA 证书添加到 openstackclient pod。

流程

  1. 创建 ConfigMap 资源以存储 CA 证书: 

    apiVersion: v1
kind: ConfigMap
metadata:
  name: cacerts
  namespace: openstack
data:
 local_CA: |
    -----BEGIN CERTIFICATE-----
    …
   -----END CERTIFICATE-----
  another_CA: |
    -----BEGIN CERTIFICATE-----
    …
   -----END CERTIFICATE-----

  2. 创建 OpenStackControlPlane 资源并引用 ConfigMap 资源: 

    apiVersion: osp-director.openstack.org/v1beta2
kind: OpenStackControlPlane
metadata:
  name: <overcloud>
  namespace: openstack
spec:
  caConfigMap: cacerts
    • <overcloud > 替换为 overcloud control plane 的名称。
  3. ~/custom_environment_files 目录中创建一个名为 tls-certs.yaml 的文件,它使用 SSLCertificateSSLIntermediateCertificateSSLKeyCAMap 参数为部署指定生成的证书。

  4. 更新 heatEnvConfigMap 以添加 tls-certs.yaml 文件: 

    $ oc create configmap -n openstack heat-env-config --from-file=~/custom_environment_files/ --dry-run=client -o yaml | oc apply -f -

  5. 创建 OpenStackConfigGenerator 资源,并添加所需的 heatEnvs 配置文件来为公共端点 IP 配置 TLS: 

    apiVersion: osp-director.openstack.org/v1beta1
kind: OpenStackConfigGenerator
…
spec:
  …
  heatEnvs:
    - ssl/tls-endpoints-public-ip.yaml
    - ssl/enable-tls.yaml
  …
  heatEnvConfigMap: heat-env-config
  tarballConfigMap: tripleo-tarball-config
  6. 使用 OpenStackConfigGenerator 生成 Ansible playbook,并应用 overcloud 配置。如需更多信息,请参阅使用 director Operator 配置和部署 overcloud
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部