7.3. 为平台管理证书
OpenShift Container Platform 的框架中有多个组件,它们使用基于 REST 的 HTTPS 通信,通过 TLS 证书利用加密功能。OpenShift Container Platform 基于 Ansible 的安装程序在安装过程中配置这些证书。生成此流量的一些主要组件如下:
- master(API 服务器和控制器)
- etcd
- 节点
- registry
- 路由器
7.3.1. 配置自定义证书
您可以在初始安装过程中或在重新部署证书时为 API 服务器和 Web 控制台的公共主机名配置自定义服务证书。您还可以使用自定义 CA。
在使用 Ansible playbook 的初始集群安装过程中,可使用 openshift_master_overwrite_named_certificates
Ansible 变量配置自定义证书,这些变量可在清单文件中配置。例如:
openshift_master_named_certificates=[{"certfile": "/path/on/host/to/custom1.crt", "keyfile": "/path/on/host/to/custom1.key", "cafile": "/path/on/host/to/custom-ca1.crt"}]
如需了解更多选项以及如何运行安装 playbook 的说明,请参阅配置自定义证书部分。
安装程序提供 Ansible playbook 以检查所有集群证书的过期日期。额外的 playbook 可以使用当前的 CA 自动重新部署所有证书,仅重新部署特定证书,或者自行重新部署新生成的或自定义 CA。请参阅在这些 playbook 上 重新部署证书 以了解更多证书。