Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 2 章 在 OpenShift 中为 Red Hat OpenStack Services 添加自定义 TLS 证书

当您在 OpenShift (RHOSO)上部署 Red Hat OpenStack Services 时,默认启用 TLS。TLS 由 cert-manager 处理,它同时应用入口(公共)加密,以及重新加密每个 pod。目前,不支持在 RHOSO 上禁用 TLS。

2.1. Red Hat OpenStack Services on OpenShift 中的 TLS
复制链接

当您在 OpenShift 上部署 Red Hat OpenStack Services (RHOSO)时,大多数 API 连接都受到 TLS 的保护。

注意

TLS 目前不适用于内部 Alert Manager Web UI 服务端点。

您可能需要使用自己的内部证书颁发机构保护公共 API。要替换自动生成的证书,您必须创建一个包含额外 ca certs 的 secret,包括在所需的信任链中的所有证书。

您可以将您自己的内部证书颁发机构(CA)中的可信证书应用到 RHOSO 上的公共接口。公共接口是入口流量满足服务的路由。不要试图管理内部(pod 级别)接口上的加密。

如果您决定应用您自己的内部证书颁发机构(CA)的可信证书,则需要以下信息。

DNS 名称

对于您要应用自己的自定义证书的每个服务,您将需要其 DNS 主机名来生成证书。您可以使用以下命令获取公共主机名列表: oc get -n openstack routes

注意

要将单个证书用于两个或多个服务,请在 DNS 名称字段中使用通配符,或者在 subject alt name 字段中列出多个 DNS 名称。如果不使用通配符,则必须在路由主机名更改时更新证书。

Duration
要在 OpenShift 中更新服务的证书,必须重启该服务。证书持续时间是服务在不重启的情况下可以保持最长的时间,受您的内部安全策略。
usages
您必须在证书的 使用列表中包含 - 密钥加密 加密、数字签名 和服务器 auth

更新 TLS 以使用自定义证书,需要对 control plane 和数据平面进行编辑。

以下是在没有注解和更改时使用的默认 TLS 设置: 

apiVersion: core.openstack.org/v1beta1
kind: OpenStackControlPlane
metadata:
  name: myctlplane
spec:
  tls:
    default:
      ingress:
        ca:
          duration: 87600h
        cert:
          duration: 43800h
        enabled: true
      podLevel:
        enabled: true
        internal:
          ca:
            duration: 87600h
          cert:
            duration: 43800h
        libvirt:
          ca:
            duration: 87600h
          cert:
            duration: 43800h
        ovn:
          ca:
            duration: 87600h
          cert:
            duration: 43800h
Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat