11.8. 为负载均衡器配置自定义证书


如果您的 OpenShift Container Platform 集群使用默认的负载均衡器或企业级负载均衡器,您可以使用自定义证书使 Web 控制台和 API 使用公开签名的自定义证书。保留内部端点的现有内部证书。

以这种方式将 OpenShift Container Platform 配置为使用自定义证书:

  1. 编辑 master 配置文件servingInfo 部分:

    servingInfo:
      logoutURL: ""
      masterPublicURL: https://openshift.example.com:8443
      publicURL: https://openshift.example.com:8443/console/
      bindAddress: 0.0.0.0:8443
      bindNetwork: tcp4
      certFile: master.server.crt
      clientCA: ""
      keyFile: master.server.key
      maxRequestsInFlight: 0
      requestTimeoutSeconds: 0
      namedCertificates:
        - certFile: wildcard.example.com.crt 1
          keyFile: wildcard.example.com.key 2
          names:
            - "openshift.example.com"
      metricsPublicURL: "https://metrics.os.example.com/hawkular/metrics"
    1
    OpenShift Container Platform API 和 Web 控制台的公共主机名的证书文件的路径。如有必要,将组成 证书链 的所有必需文件串联为提供给 certFile 参数的证书文件。
    2
    OpenShift Container Platform API 和 Web 控制台的公共主机名的密钥文件的路径。
    注意

    仅为与 masterPublicURLoauthConfig.assetPublicURL 设置关联的主机名配置 namedCertificates 部分。将自定义服务证书用于与 masterURL 关联的主机名会导致 TLS 错误,因为基础架构组件尝试使用内部 masterURL 主机联系主 API。

  2. 在 Ansible 清单文件中指定 openshift_master_cluster_public_hostnameopenshift_master_cluster_hostname 参数,默认为 /etc/ansible/hosts。这些值必须不同。如果它们相同,则命名证书将失败。

    # Native HA with External LB VIPs
    openshift_master_cluster_hostname=paas.example.com 1
    openshift_master_cluster_public_hostname=public.paas.example.com 2
    1
    为 SSL 透传配置的内部负载均衡器的 FQDN。
    2
    带有自定义(public)证书的外部负载均衡器的 FQDN。

有关负载均衡器环境的信息,请参阅 供应商和自定义证书 SSL 终止(产品) 的 OpenShift Container Platform 参考架构

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.