11.8. 为负载均衡器配置自定义证书
如果您的 OpenShift Container Platform 集群使用默认的负载均衡器或企业级负载均衡器,您可以使用自定义证书使 Web 控制台和 API 使用公开签名的自定义证书。保留内部端点的现有内部证书。
以这种方式将 OpenShift Container Platform 配置为使用自定义证书:
编辑 master 配置文件的
servingInfo部分:servingInfo: logoutURL: "" masterPublicURL: https://openshift.example.com:8443 publicURL: https://openshift.example.com:8443/console/ bindAddress: 0.0.0.0:8443 bindNetwork: tcp4 certFile: master.server.crt clientCA: "" keyFile: master.server.key maxRequestsInFlight: 0 requestTimeoutSeconds: 0 namedCertificates: - certFile: wildcard.example.com.crt 1 keyFile: wildcard.example.com.key 2 names: - "openshift.example.com" metricsPublicURL: "https://metrics.os.example.com/hawkular/metrics"注意仅为与
masterPublicURL和oauthConfig.assetPublicURL设置关联的主机名配置namedCertificates部分。将自定义服务证书用于与masterURL关联的主机名会导致 TLS 错误,因为基础架构组件尝试使用内部 masterURL 主机联系主 API。在 Ansible 清单文件中指定
openshift_master_cluster_public_hostname和openshift_master_cluster_hostname参数,默认为 /etc/ansible/hosts。这些值必须不同。如果它们相同,则命名证书将失败。# Native HA with External LB VIPs openshift_master_cluster_hostname=paas.example.com 1 openshift_master_cluster_public_hostname=public.paas.example.com 2
有关负载均衡器环境的信息,请参阅 供应商和自定义证书 SSL 终止(产品) 的 OpenShift Container Platform 参考架构。
