11.3. 为高可用性集群创建 pcsd TLS 证书和密钥文件
(RHEL 8.8 及更新的版本)
您可以使用 ha_cluster
系统角色在高可用性集群中创建 TLS 证书和密钥文件。运行此 playbook 时,ha_cluster
系统角色在内部使用 certificate
系统角色来管理 TLS 证书。
警告
ha_cluster
系统角色替换指定节点上任何现有的群集配置。playbook 中指定的任何设置都将丢失。
先决条件
- 您已准备好控制节点和受管节点。
- 以可在受管主机上运行 playbook 的用户登录到控制节点。
-
用于连接到受管节点的帐户具有
sudo
权限。 - 作为集群成员运行的系统必须拥有对 RHEL 和 RHEL 高可用性附加组件的有效订阅。
- 清单文件指定集群节点,如 为 ha_cluster 系统角色指定清单 中所述。
步骤
创建包含以下内容的 playbook 文件,如
~/playbook.yml
:--- - name: Create TLS certificates and key files in a high availability cluster hosts: node1 node2 roles: - rhel-system-roles.ha_cluster vars: ha_cluster_cluster_name: my-new-cluster ha_cluster_hacluster_password: <password> ha_cluster_manage_firewall: true ha_cluster_manage_selinux: true ha_cluster_pcsd_certificates: - name: FILENAME common_name: "{{ ansible_hostname }}" ca: self-sign
此 playbook 配置运行
firewalld
和selinux
服务的集群,并在/var/lib/
中创建自签名 pcsd 证书和私钥文件。pcsd
pcsd
证书具有文件名FILENAME.crt
,密钥文件名为FILENAME.key
。为生产环境创建 playbook 文件时,vault 会加密密码,如在 使用 Ansible Vault 加密内容 中所述。
验证 playbook 语法:
$ ansible-playbook --syntax-check ~/playbook.yml
请注意,这个命令只验证语法,不会防止错误但有效的配置。
运行 playbook:
$ ansible-playbook ~/playbook.yml
其他资源
-
/usr/share/ansible/roles/rhel-system-roles.ha_cluster/README.md
文件 -
/usr/share/doc/rhel-system-roles/ha_cluster/
目录 使用 RHEL 系统角色请求证书