如何在OpenShift Enterprise 3.2中为hawkular-metrics创建重新加密路由

时间:2016-09-03 21:40:14

标签: openshift kubernetes openshift-enterprise hawkular

根据启用集群指标的文档,我应该根据以下声明创建重新加密路由

data{n}
  • 我应该将这些密钥和证书用于什么?
  • 这些已存在于某处或我需要创建它们吗?

3 个答案:

答案 0 :(得分:2)

此处的Openshift Metrics开发人员。

很抱歉,如果文档不够清晰。

该路由用于公开Hawkular Metrics,尤其是运行OpenShift控制台的浏览器。

如果您未指定任何证书,系统将使用自签名证书。浏览器会抱怨此自签名证书不受信任,但您通常只需单击即可接受它。如果你对此感到满意,那么你就不需要做任何额外的步骤。

如果您希望浏览器默认信任此连接,则需要提供由受信任的证书颁发机构签名的自己的证书。这与您在https下运行普通站点时必须生成自己的证书的方式完全相似。

从以下命令:

  

$ oc create route reencrypt hawkular-metrics-reencrypt \ --hostname hawkular-metrics.example.com \ --key / path / to / key \ --cert / path / to / cert \ --ca-cert /path/to/ca.crt \ --service hawkular-metrics --dest-ca-cert /path/to/internal-ca.crt

'证书'对应于由证书颁发机构签名的证书

'键'对应于证书的密钥

' CA证书'对应于证书颁发机构证书

' DEST-CA证书'对应于签署由度量部署者生成的自签名证书的证书颁发机构

文档https://docs.openshift.com/enterprise/3.2/install_config/cluster_metrics.html#metrics-reencrypting-route应该解释如何从系统中获取dest-ca-cert

答案 1 :(得分:1)

首先,据我所知,请注意使用重新加密路由是可选的。该文档提到部署而不导入任何证书:

oc secrets new metrics-deployer nothing=/dev/null

你应该能够从那开始并进行鹰派工作(例如你可以使用' -k'选项)。但有时需要重新加密路由,有些客户拒绝与不受信任的证书通信。

此页面说明了此处所需的证书:https://docs.openshift.com/enterprise/3.1/install_config/cluster_metrics.html#metrics-reencrypting-route

请注意,如果您觉得更方便,也可以从Web控制台进行配置:从https://(your_openshift_host)/console/project/openshift-infra/browse/routes开始,您可以创建新路由并从该页面上传证书文件。在" TLS终止"选择"重新加密",然后提供4个证书文件。

如果您不知道如何生成自签名证书,则可以按照此处所述的步骤进行操作:https://datacenteroverlords.com/2012/03/01/creating-your-own-ssl-certificate-authority/。您最终将获得一个rootCA.pem文件(用于" CA证书"),一个device.key文件(或将其命名为hawkular.key,并将其作为私钥上传)和device.crt文件(您可以将其命名为hawkular.pem,它是PEM格式证书)。当询问公共名称时,请确保输入hawkular服务器的主机名,例如" hawkular-metrics.example.com"

要提供的最后一个是Hawkular在所谓的"目的地CA证书"下使用的当前自签名证书。 OpenShift文档解释了如何获取它:运行

base64 -d <<< \
`oc get -o yaml secrets hawkular-metrics-certificate \
| grep -i hawkular-metrics-ca.certificate | awk '{print $2}'`

并且,如果您正在使用Web控制台,请将其保存到文件中,然后将其上传到目标CA证书下。

现在你应该完成重新加密。

答案 2 :(得分:0)

谢谢你们,结果证明是你提到的可选项。我的系统在没有创建它的情况下工作