8.8. 使用客户端身份验证创建 TLS 终止 HTTPS 负载均衡器

通过 TLS 终止的 HTTPS 负载均衡器，Web 客户端使用 TLS 协议与负载均衡器通信。负载平衡器终止 TLS 会话，并将解密的请求转发到后端服务器。通过终止负载均衡器上的 TLS 会话，您可以将 CPU 密集型加密工作卸载到负载均衡器，并启用高级负载均衡器功能，如第 7 层负载均衡和标头操作。添加客户端身份验证后，用户可以使用证书验证到 VIP 的连接。这也被称为双向 TLS 身份验证。在 OpenShift 上的 Red Hat OpenStack Services (RHOSO)环境中，最好创建运行状况监控器，以确保您的后端成员仍然可用。

先决条件

管理员已为您创建一个项目，并为您提供了一个 clouds.yaml 文件来访问云。
python-openstackclient 软件包驻留在您的工作站上。
```
dnf list installed python-openstackclient
```
```
$ dnf list installed python-openstackclient
```
Copy to Clipboard Toggle word wrap
可以从互联网访问的共享外部(public)子网。
TLS 公钥加密配置有以下特征：
- 从分配给负载均衡器 VIP 地址的 DNS 名称的外部证书颁发机构(CA)获取 TLS 证书、密钥和可选中间证书链（例如 www.example.com）。
- 证书、密钥和中间证书链位于当前目录中的独立文件中。
- 密钥和证书是 PEM 编码的。
- 中间证书链包含多个 PEM 编码并串联在一起的证书。
非安全 HTTP 侦听器配置与 HTTPS TLS 终止负载均衡器相同的池。

流程

将密钥(server.key)、证书(server.crt)和中间证书链(ca-chain.crt)组合成单个 PKCS12 文件(server.p12)。
注意
括号内的值是此流程中示例命令中使用的示例值。将这些示例值替换为适合您的站点的值。
Example
```
openssl pkcs12 -export -inkey server.key -in server.crt \
-certfile ca-chain.crt -passout pass: -out server.p12
```
```
$ openssl pkcs12 -export -inkey server.key -in server.crt \
-certfile ca-chain.crt -passout pass: -out server.p12
```
Copy to Clipboard Toggle word wrap
确认为您的云设置了系统 OS_CLOUD 变量：
```
echo $OS_CLOUD
```
```
$ echo $OS_CLOUD
my_cloud
```
Copy to Clipboard Toggle word wrap
如果需要，重置变量：
```
export OS_CLOUD=my_other_cloud
```
```
$ export OS_CLOUD=my_other_cloud
```
Copy to Clipboard Toggle word wrap
作为替代方案，您可以在每次运行 openstack 命令时添加 --os-cloud <cloud_name > 选项指定云名称。

使用 Key Manager 服务为 PKCS12 文件创建 secret 资源(tls_secret1)。

Example

openstack secret store --name='tls_secret1' \
-t 'application/octet-stream' -e 'base64' \
--payload="$(base64 < server.p12)"

$ openstack secret store --name='tls_secret1' \
-t 'application/octet-stream' -e 'base64' \
--payload="$(base64 < server.p12)"

Copy to Clipboard

Toggle word wrap

使用 Key Manager 服务为客户端 CA 证书创建 secret 资源(client_ca_cert)。

Example

openstack secret store --name='client_ca_cert' \
-t 'application/octet-stream' -e 'base64' \
--payload="$(base64 < client_ca.pem)"

$ openstack secret store --name='client_ca_cert' \
-t 'application/octet-stream' -e 'base64' \
--payload="$(base64 < client_ca.pem)"

Copy to Clipboard

Toggle word wrap

（可选）使用 Key Manager 服务为 CRL 文件创建 secret 资源(client_ca_crl)。

Example

openstack secret store --name='client_ca_crl' \
-t 'application/octet-stream' -e 'base64' \
--payload="$(base64 < client_ca.crl)"

$ openstack secret store --name='client_ca_crl' \
-t 'application/octet-stream' -e 'base64' \
--payload="$(base64 < client_ca.crl)"

Copy to Clipboard

Toggle word wrap

在公共子网(public_subnet)上创建负载平衡器(lb1)。

Example

openstack loadbalancer create --name lb1 \
--vip-subnet-id external_subnet --wait

$ openstack loadbalancer create --name lb1 \
--vip-subnet-id external_subnet --wait

Copy to Clipboard

Toggle word wrap

创建 TERMINATED_HTTPS 侦听器(listener1)并执行以下操作：

引用机密资源(tls_secret1)，作为侦听器的默认 TLS 容器。
启用客户端身份验证。
引用 secret 资源(client_ca_cert)作为客户端 CA 证书的默认 TLS 容器。

引用 secret 资源(client_ca_crl)作为客户端 CRL 文件的默认 TLS 容器。

Example

openstack loadbalancer listener create --name listener1\
--protocol-port 443 --protocol TERMINATED_HTTPS \
--default-tls-container=\
$(openstack secret list | awk '/ tls_secret1 / {print $2}') \
--client-authentication=MANDATORY \
--client-ca-tls-container-ref=\
$(openstack secret list | awk '/ client_ca_cert / {print $2}') \
--client-crl-container=\
$(openstack secret list | awk '/ client_ca_crl / {print $2}') \
--wait lb1

$ openstack loadbalancer listener create --name listener1\
--protocol-port 443 --protocol TERMINATED_HTTPS \
--default-tls-container=\
$(openstack secret list | awk '/ tls_secret1 / {print $2}') \
--client-authentication=MANDATORY \
--client-ca-tls-container-ref=\
$(openstack secret list | awk '/ client_ca_cert / {print $2}') \
--client-crl-container=\
$(openstack secret list | awk '/ client_ca_crl / {print $2}') \
--wait lb1

Copy to Clipboard

Toggle word wrap

创建池(pool1)，并将它配置为侦听器的默认池。
Example
本例中命令会创建一个 HTTP 池，它使用一个专用子网，其中包含在 TCP 端口 80 上托管非安全 HTTP 应用程序的后端服务器：
```
openstack loadbalancer pool create --name pool1 \
--lb-algorithm ROUND_ROBIN --listener listener1 --protocol HTTP --wait
```
```
$ openstack loadbalancer pool create --name pool1 \
--lb-algorithm ROUND_ROBIN --listener listener1 --protocol HTTP --wait
```
Copy to Clipboard Toggle word wrap
在池(pool1)上创建一个类型为(HTTP)的运行状况监视器(healthmon1)，以连接后端服务器并测试路径(/)。
健康检查有助于避免误报。如果没有定义运行状况监视器，则假定成员服务器为 ONLINE。
Example
```
openstack loadbalancer healthmonitor create --name healthmon1 \
--delay 15 --max-retries 4 --timeout 10 --type HTTP --url-path / --wait pool1
```
```
$ openstack loadbalancer healthmonitor create --name healthmon1 \
--delay 15 --max-retries 4 --timeout 10 --type HTTP --url-path / --wait pool1
```
Copy to Clipboard Toggle word wrap

将专用子网(private_subnet)上的非安全 HTTP 后端服务器（192.0.2.10 和 192.0.2.11）添加到池。

Example

在本例中，后端服务器 192.0.2.10 和 192.0.2.11 分别命名为 member1 和 member2 ：

openstack loadbalancer member create --name member1 --subnet-id \
private_subnet --address 192.0.2.10 --protocol-port 443 --wait pool1
openstack loadbalancer member create --name member2 --subnet-id \
private_subnet --address 192.0.2.11 --protocol-port 443 --wait pool1

$ openstack loadbalancer member create --name member1 --subnet-id \
private_subnet --address 192.0.2.10 --protocol-port 443 --wait pool1

$ openstack loadbalancer member create --name member2 --subnet-id \
private_subnet --address 192.0.2.11 --protocol-port 443 --wait pool1

Copy to Clipboard

Toggle word wrap

创建非安全 HTTP 侦听器(listener2)，并使它的默认池与安全侦听器相同。

Example

openstack loadbalancer listener create --name listener2 \
--protocol-port 80 --protocol HTTP --default-pool pool1 lb1

$ openstack loadbalancer listener create --name listener2 \
--protocol-port 80 --protocol HTTP --default-pool pool1 lb1

Copy to Clipboard

Toggle word wrap

验证

查看并验证负载平衡器侦听器(lb1)设置。

Example

openstack loadbalancer listener show listener2

$ openstack loadbalancer listener show listener2

Copy to Clipboard

Toggle word wrap

输出示例

client_authentication 值应为 MANDATORY。

---------------------------------------------------------------------------+
| Field                       | Value                                        |
---------------------------------------------------------------------------+
| admin_state_up              | True                                         |
| connection_limit            | -1                                           |
| created_at                  | 2025-06-18T14:35:45                          |
| default_pool_id             | f43b4259-3ca2-4393-bc7f-12143f6ec015         |
| default_tls_container_ref   | https://barbican.openstack.svc:9311/v1/secre |
|                             | ts/eb16233e-0cb1-4750-85af-d01931b409ca      |
| description                 |                                              |
| id                          | 5ab57588-6c9c-49f1-a562-6596eded84ff         |
| insert_headers              | None                                         |
| l7policies                  |                                              |
| loadbalancers               | 5cb69415-281a-486e-96d4-b10c67291997         |
| name                        | listener2                                    |
| operating_status            | ONLINE                                       |
| project_id                  | 4676472cb1344f449b367b6ac473bf93             |
| protocol                    | TERMINATED_HTTPS                             |
| protocol_port               | 443                                          |
| provisioning_status         | ACTIVE                                       |
| sni_container_refs          | []                                           |
| timeout_client_data         | 50000                                        |
| timeout_member_connect      | 5000                                         |
| timeout_member_data         | 50000                                        |
| timeout_tcp_inspect         | 0                                            |
| updated_at                  | 2025-06-18T14:41:20                          |
| client_ca_tls_container_ref | https://barbican.openstack.svc:9311/v1/secre |
|                             | ts/81086194-3e51-474f-a6f6-fa9afd850939      |
| client_authentication       | MANDATORY                                    |
| client_crl_container_ref    | https://barbican.openstack.svc:9311/v1/secre |
|                             | ts/8e3f75e1-611d-4fa2-b7e6-83a195270a91      |
| allowed_cidrs               | None                                         |
| tls_ciphers                 | TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305 |
|                             | _SHA256:TLS_AES_128_GCM_SHA256:DHE-RSA-      |
|                             | AES256-GCM-SHA384:DHE-RSA-AES128-GCM-        |
|                             | SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-    |
|                             | RSA-AES128-GCM-SHA256:DHE-RSA-               |
|                             | AES256-SHA256:DHE-RSA-AES128-SHA256:ECDHE-   |
|                             | RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256    |
| tls_versions                | [TLSv1.2, TLSv1.3]                       |
| alpn_protocols              | [h2, http/1.1, http/1.0]               |
| tags                        |                                              |
---------------------------------------------------------------------------+

---------------------------------------------------------------------------+
| Field                       | Value                                        |
---------------------------------------------------------------------------+
| admin_state_up              | True                                         |
| connection_limit            | -1                                           |
| created_at                  | 2025-06-18T14:35:45                          |
| default_pool_id             | f43b4259-3ca2-4393-bc7f-12143f6ec015         |
| default_tls_container_ref   | https://barbican.openstack.svc:9311/v1/secre |
|                             | ts/eb16233e-0cb1-4750-85af-d01931b409ca      |
| description                 |                                              |
| id                          | 5ab57588-6c9c-49f1-a562-6596eded84ff         |
| insert_headers              | None                                         |
| l7policies                  |                                              |
| loadbalancers               | 5cb69415-281a-486e-96d4-b10c67291997         |
| name                        | listener2                                    |
| operating_status            | ONLINE                                       |
| project_id                  | 4676472cb1344f449b367b6ac473bf93             |
| protocol                    | TERMINATED_HTTPS                             |
| protocol_port               | 443                                          |
| provisioning_status         | ACTIVE                                       |
| sni_container_refs          | []                                           |
| timeout_client_data         | 50000                                        |
| timeout_member_connect      | 5000                                         |
| timeout_member_data         | 50000                                        |
| timeout_tcp_inspect         | 0                                            |
| updated_at                  | 2025-06-18T14:41:20                          |
| client_ca_tls_container_ref | https://barbican.openstack.svc:9311/v1/secre |
|                             | ts/81086194-3e51-474f-a6f6-fa9afd850939      |
| client_authentication       | MANDATORY                                    |
| client_crl_container_ref    | https://barbican.openstack.svc:9311/v1/secre |
|                             | ts/8e3f75e1-611d-4fa2-b7e6-83a195270a91      |
| allowed_cidrs               | None                                         |
| tls_ciphers                 | TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305 |
|                             | _SHA256:TLS_AES_128_GCM_SHA256:DHE-RSA-      |
|                             | AES256-GCM-SHA384:DHE-RSA-AES128-GCM-        |
|                             | SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-    |
|                             | RSA-AES128-GCM-SHA256:DHE-RSA-               |
|                             | AES256-SHA256:DHE-RSA-AES128-SHA256:ECDHE-   |
|                             | RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256    |
| tls_versions                | [TLSv1.2, TLSv1.3]                       |
| alpn_protocols              | [h2, http/1.1, http/1.0]               |
| tags                        |                                              |
---------------------------------------------------------------------------+

Copy to Clipboard

Toggle word wrap

当存在运行状况监控器并正常运行时，您可以检查每个成员的状态。

Example

openstack loadbalancer member show pool1 member1

$ openstack loadbalancer member show pool1 member1

Copy to Clipboard

Toggle word wrap

输出示例

工作成员(member1)在其 operating_status 中有一个 ONLINE 值：

+---------------------+--------------------------------------+
| Field               | Value                                |
+---------------------+--------------------------------------+
| address             | 192.0.2.10                           |
| admin_state_up      | True                                 |
| created_at          | 2025-06-18T14:36:28                  |
| id                  | 9da5aac4-b8c2-f113-6cef-a7f14327cb4a |
| name                | member1                              |
| operating_status    | ONLINE                               |
| project_id          | dda678ca5b1241e7ad7bf7eb211a2fd7     |
| protocol_port       | 80                                   |
| provisioning_status | ACTIVE                               |
| subnet_id           | 5bd7334b-49b3-4849-b3a2-b0b83852dba1 |
| updated_at          | 2025-06-18T14:36:49                  |
| weight              | 1                                    |
| monitor_port        | None                                 |
| monitor_address     | None                                 |
| backup              | False                                |
+---------------------+--------------------------------------+

+---------------------+--------------------------------------+
| Field               | Value                                |
+---------------------+--------------------------------------+
| address             | 192.0.2.10                           |
| admin_state_up      | True                                 |
| created_at          | 2025-06-18T14:36:28                  |
| id                  | 9da5aac4-b8c2-f113-6cef-a7f14327cb4a |
| name                | member1                              |
| operating_status    | ONLINE                               |
| project_id          | dda678ca5b1241e7ad7bf7eb211a2fd7     |
| protocol_port       | 80                                   |
| provisioning_status | ACTIVE                               |
| subnet_id           | 5bd7334b-49b3-4849-b3a2-b0b83852dba1 |
| updated_at          | 2025-06-18T14:36:49                  |
| weight              | 1                                    |
| monitor_port        | None                                 |
| monitor_address     | None                                 |
| backup              | False                                |
+---------------------+--------------------------------------+

Copy to Clipboard

Toggle word wrap

8.8. 使用客户端身份验证创建 TLS 终止 HTTPS 负载均衡器

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links