12.2. TLS 用于公共端点 DNS 名称

流程

1. 创建 ConfigMap 资源以存储 CA 证书：

   apiVersion: v1
   kind: ConfigMap
   metadata:
     name: cacerts
     namespace: openstack
   data:
    local_CA: |
       -----BEGIN CERTIFICATE-----
       …
      -----END CERTIFICATE-----
     another_CA: |
       -----BEGIN CERTIFICATE-----
       …
      -----END CERTIFICATE-----

   Copy to Clipboard Toggle word wrap

2. 创建 OpenStackControlPlane 资源并引用 ConfigMap 资源：

   apiVersion: osp-director.openstack.org/v1beta2
   kind: OpenStackControlPlane
   metadata:
     name: <overcloud>
     namespace: openstack
   spec:
     caConfigMap: cacerts

   Copy to Clipboard Toggle word wrap
   • 将 <overcloud > 替换为 overcloud control plane 的名称。
3. 在 ~/custom_environment_files 目录中创建一个名为 tls-certs.yaml 的文件，它使用 SSLCertificate、SSLIntermediateCertificate、SSLKey 和 CAMap 参数为部署指定生成的证书。

4. 更新 heatEnvConfigMap 以添加 tls-certs.yaml 文件：

   $ oc create configmap -n openstack heat-env-config --from-file=~/custom_environment_files/ --dry-run=client -o yaml | oc apply -f -

   Copy to Clipboard Toggle word wrap

5. 创建 OpenStackConfigGenerator 资源并添加所需的 heatEnvs 配置文件，以便为公共端点 DNS 名称配置 TLS：

   apiVersion: osp-director.openstack.org/v1beta1
   kind: OpenStackConfigGenerator
   …
   spec:
     …
     heatEnvs:
       - ssl/tls-endpoints-public-dns.yaml
       - ssl/enable-tls.yaml
     …
     heatEnvConfigMap: heat-env-config
     tarballConfigMap: tripleo-tarball-config

   Copy to Clipboard Toggle word wrap
6. 使用 OpenStackConfigGenerator 生成 Ansible playbook，并应用 overcloud 配置。如需更多信息，请参阅使用 director Operator 配置和部署 overcloud。