搜索

1.5. 配置 TLS 证书

download PDF

您可以指定 Red Hat build of Cryostat Operator,将 Cryostat 配置为信任来自特定应用程序的 TLS 证书。

Cryostat 尝试打开到使用 TLS 证书的目标 JVM 的 JMX 连接。对于成功 JMX 连接,Cryostat 必须传递目标 JVM 证书上的所有身份验证检查。

您可以在 Red Hat build of Cryostat Operator YAML 配置文件的 trustedCertSecrets 数组中指定多个 TLS secret。您必须在数组的 secretName 属性中指定位于与 Cryostat 应用程序相同的命名空间中的 secret。certificateKey 属性默认为 tls.crt,但您可以将值改为 X.509 证书文件名。

重要

只有在使用 com.sun.management.jmxremote.registry.ssl=true 属性为远程 JMX 连接启用了 TLS 的应用程序才需要配置 TLS 证书。

先决条件

  • 使用 OpenShift Web 控制台登录到 OpenShift Container Platform。
  • 登录到 Cryostat web 控制台。

流程

  1. 在 Red Hat OpenShift web 控制台中,点 Operators > Installed Operators
  2. 从可用 operator 列表中,选择 Red Hat build of Cryostat。
  3. Operator 详情页面中,点 Details 选项卡。
  4. Provided APIs 部分中,提供 CryostatCluster Cryostat 自定义资源(CR)。选择以下选项之一:

    1. 要创建单命名空间 Cryostat 实例,请选择 Cryostat,然后单击 Create instance
    2. 要创建 Cryostat 的多命名空间实例,请选择 Cluster Cryostat,然后点 Create instance
  5. 要配置 TLS 证书,请选择以下选项之一:

    1. Form view 单选按钮。

      1. Name 字段中,为您要创建的 Cryostat 实例指定一个名称。
      2. 展开 Trusted TLS Certificates 选项,然后单击 Add Trusted TLS Certificate。在 Red Hat OpenShift Web 控制台中显示选项列表。

        图 1.6. Trusted TLS Certificates 选项

        *Trusted TLS Certificates* 选项
      3. Secret Name 列表中选择 TLS secret。Certificate Key 字段是可选的。

        注意

        您可以通过单击 Remove Trusted TLS 证书来删除 TLS 证书

      4. Create。根据您创建的实例类型,实例会在以下标签页之一下打开:

        • 如果您创建了单命名空间 Cryostat 实例,则实例位于 Operator 详情页面的 Cryostat 选项卡下。
        • 如果您创建了 Cluster Cryostat 实例,则实例位于 Operator 详情页面的 Cluster Cryostat 选项卡下。
    2. YAML 视图 单选按钮。

      1. trustedCertSecrets 数组的 secretName 属性中指定您的 secret (位于与 Cryostat 应用程序相同的命名空间中)。

        trustedCertSecrets 阵列中指定 secret 的示例

        --
        apiVersion: operator.cryostat.io/v1beta1
        kind: Cryostat
        metadata:
          name: cryostat-sample
        spec:
          trustedCertSecrets:
          - secretName: my-tls-secret
        --

      2. 可选:certificateKey 属性值改为应用程序的 X.509 证书文件名。如果没有更改值,则 certificateKey 属性默认为 tls.crt

        更改 certificateKey 属性的值示例

        --
        apiVersion: operator.cryostat.io/v1beta1
        kind: Cryostat
        metadata:
          name: cryostat-sample
        spec:
          trustedCertSecrets:
          - secretName: my-tls-secret
            certificateKey: ca.crt
        --

      3. 点击 Save

        Red Hat build of Cryostat Operator 会自动使用配置的安全设置重启 Cryostat 实例。

验证

  1. 通过在 CLI 中运行以下命令来确定所有应用程序 pod 是否都与 Cryostat pod 位于同一个 OpenShift 集群命名空间中:

    $ oc get pods
  2. 登录到 Cryostat 实例的 web 控制台。
  3. 在 Cryostat 实例的 Dashboard 菜单中,从 Target 列表中选择一个目标 JVM。
  4. 在 Cryostat web 控制台的导航菜单中选择 Recordings。在 Authentication Required 对话框中,输入您的 secret 的凭证,然后选择 Save 以将您的凭据提供给目标 JVM。

    注意

    如果所选目标为 JMX 连接启用了密码身份验证,则系统提示连接时必须为目标 JVM 提供 JMX 凭据。

    Cryostat 通过经过身份验证的 JMX 连接连接到您的应用程序。现在,您可以使用 RecordingsEvents 功能来监控应用程序的 JFR 数据。

其他资源

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.