Прежде всего, насколько я знаю, обратите внимание, что использование маршрута повторного шифрования является необязательным. Документация упоминает развертывание без импорта любого сертификата:
oc secrets new metrics-deployer nothing=/dev/null
И вы должны быть в состоянии начать с этим и сделать hawkular работы (например, вы будете иметь возможность свернуться с опцией «-k»). Но иногда требуется повторный шифрование маршрута, некоторые клиенты отказываются общаться с ненадежными сертификатами.
На этой странице объясняется, какие сертификаты нужны здесь: https://docs.openshift.com/enterprise/3.1/install_config/cluster_metrics.html#metrics-reencrypting-route
Обратите внимание, что вы также можете настроить его с помощью веб-консоли, если вы найдете его более удобным: от https://(your_openshift_host)/console/project/openshift-infra/browse/routes, вы можете создать новый маршрут и загрузить сертификат файлов с этой страницы. В разделе «TLS term» выберите «Re-Encrypt», затем укажите 4 файла сертификата.
Если вы не знаете, как создавать самоподписанные сертификаты, вы можете выполнить описанные здесь шаги: https://datacenteroverlords.com/2012/03/01/creating-your-own-ssl-certificate-authority/. В итоге вы получите файл rootCA.pem (используйте его для «CA Certificate»), файл device.key (или назовите его hawkular.key и загрузите его как закрытый ключ) и файл device.crt (вы можете назовите его hawkular.pem, это сертификат формата PEM). Когда вас спросят об общем имени, обязательно введите имя хоста для вашего серверного сервера, например «hawkular-metrics.example.com».
Последним, который будет предоставлен, является текущий самозаверяющий сертификат, используемый Hawkular, под -called «CA CA CA». OpenShift документация объясняет, как это сделать: запустить
base64 -d <<< \
`oc get -o yaml secrets hawkular-metrics-certificate \
| grep -i hawkular-metrics-ca.certificate | awk '{print $2}'`
и, если вы используете веб-консоль, сохраните его в файл затем загрузить его под сертификатом назначения CA.
Теперь вам нужно сделать повторное шифрование.
Под «-dest-ca-cert» находится существующий внутренний сертификат. Вы должны предоставить все остальные (если у вас нет, вы можете создавать собственные подписки для частной среды). В последнее время у меня были те же проблемы, позвольте мне узнать, как я это сделал, и я опубликую более полный ответ. – Joel