根据启用集群指标的文档,我应该根据以下声明创建重新加密路由
data{n}答案 0 :(得分:2)
此处的Openshift Metrics开发人员。
很抱歉,如果文档不够清晰。
该路由用于公开Hawkular Metrics,尤其是运行OpenShift控制台的浏览器。
如果您未指定任何证书,系统将使用自签名证书。浏览器会抱怨此自签名证书不受信任,但您通常只需单击即可接受它。如果你对此感到满意,那么你就不需要做任何额外的步骤。
如果您希望浏览器默认信任此连接,则需要提供由受信任的证书颁发机构签名的自己的证书。这与您在https下运行普通站点时必须生成自己的证书的方式完全相似。
从以下命令:
$ oc create route reencrypt hawkular-metrics-reencrypt \ --hostname hawkular-metrics.example.com \ --key / path / to / key \ --cert / path / to / cert \ --ca-cert /path/to/ca.crt \ --service hawkular-metrics --dest-ca-cert /path/to/internal-ca.crt
'证书'对应于由证书颁发机构签名的证书
'键'对应于证书的密钥
' CA证书'对应于证书颁发机构证书
' DEST-CA证书'对应于签署由度量部署者生成的自签名证书的证书颁发机构
文档https://docs.openshift.com/enterprise/3.2/install_config/cluster_metrics.html#metrics-reencrypting-route应该解释如何从系统中获取dest-ca-cert
答案 1 :(得分:1)
首先,据我所知,请注意使用重新加密路由是可选的。该文档提到部署而不导入任何证书:
oc secrets new metrics-deployer nothing=/dev/null
你应该能够从那开始并进行鹰派工作(例如你可以使用' -k'选项)。但有时需要重新加密路由,有些客户拒绝与不受信任的证书通信。
此页面说明了此处所需的证书:https://docs.openshift.com/enterprise/3.1/install_config/cluster_metrics.html#metrics-reencrypting-route
请注意,如果您觉得更方便,也可以从Web控制台进行配置:从https://(your_openshift_host)/console/project/openshift-infra/browse/routes开始,您可以创建新路由并从该页面上传证书文件。在" TLS终止"选择"重新加密",然后提供4个证书文件。
如果您不知道如何生成自签名证书,则可以按照此处所述的步骤进行操作:https://datacenteroverlords.com/2012/03/01/creating-your-own-ssl-certificate-authority/。您最终将获得一个rootCA.pem文件(用于" CA证书"),一个device.key文件(或将其命名为hawkular.key,并将其作为私钥上传)和device.crt文件(您可以将其命名为hawkular.pem,它是PEM格式证书)。当询问公共名称时,请确保输入hawkular服务器的主机名,例如" hawkular-metrics.example.com"
要提供的最后一个是Hawkular在所谓的"目的地CA证书"下使用的当前自签名证书。 OpenShift文档解释了如何获取它:运行
base64 -d <<< \
`oc get -o yaml secrets hawkular-metrics-certificate \
| grep -i hawkular-metrics-ca.certificate | awk '{print $2}'`
并且,如果您正在使用Web控制台,请将其保存到文件中,然后将其上传到目标CA证书下。
现在你应该完成重新加密。
答案 2 :(得分:0)
谢谢你们,结果证明是你提到的可选项。我的系统在没有创建它的情况下工作