1. дома
  2. Вопрос и ответ
  3. Как создать повторно зашифровать маршрут для hawkular-метрик в OpenShift Enterprise 3.2

Как создать повторно зашифровать маршрут для hawkular-метрик в OpenShift Enterprise 3.2

2016-09-03 7 views
0

В соответствии с документацией, с тем чтобы кластерные показатели, я должен создать повторно зашифровать маршрут в соответствии с приведенной ниже заявлениеКак создать повторно зашифровать маршрут для hawkular-метрик в OpenShift Enterprise 3.2

$ oc create route reencrypt hawkular-metrics-reencrypt \ 
--hostname hawkular-metrics.example.com \ 
--key /path/to/key \ 
--cert /path/to/cert \ 
--ca-cert /path/to/ca.crt \ 
--service hawkular-metrics 
--dest-ca-cert /path/to/internal-ca.crt
  • Что именно должно Я использую эти ключи и сертификаты?
  • Являются ли они уже существующими или мне нужно их создать?

источник

2016-09-03 Mahmoud

+0

Под «-dest-ca-cert» находится существующий внутренний сертификат. Вы должны предоставить все остальные (если у вас нет, вы можете создавать собственные подписки для частной среды). В последнее время у меня были те же проблемы, позвольте мне узнать, как я это сделал, и я опубликую более полный ответ. – Joel

ответ

1

Прежде всего, насколько я знаю, обратите внимание, что использование маршрута повторного шифрования является необязательным. Документация упоминает развертывание без импорта любого сертификата:

oc secrets new metrics-deployer nothing=/dev/null

И вы должны быть в состоянии начать с этим и сделать hawkular работы (например, вы будете иметь возможность свернуться с опцией «-k»). Но иногда требуется повторный шифрование маршрута, некоторые клиенты отказываются общаться с ненадежными сертификатами.

На этой странице объясняется, какие сертификаты нужны здесь: https://docs.openshift.com/enterprise/3.1/install_config/cluster_metrics.html#metrics-reencrypting-route

Обратите внимание, что вы также можете настроить его с помощью веб-консоли, если вы найдете его более удобным: от https://(your_openshift_host)/console/project/openshift-infra/browse/routes, вы можете создать новый маршрут и загрузить сертификат файлов с этой страницы. В разделе «TLS term» выберите «Re-Encrypt», затем укажите 4 файла сертификата.

Если вы не знаете, как создавать самоподписанные сертификаты, вы можете выполнить описанные здесь шаги: https://datacenteroverlords.com/2012/03/01/creating-your-own-ssl-certificate-authority/. В итоге вы получите файл rootCA.pem (используйте его для «CA Certificate»), файл device.key (или назовите его hawkular.key и загрузите его как закрытый ключ) и файл device.crt (вы можете назовите его hawkular.pem, это сертификат формата PEM). Когда вас спросят об общем имени, обязательно введите имя хоста для вашего серверного сервера, например «hawkular-metrics.example.com».

Последним, который будет предоставлен, является текущий самозаверяющий сертификат, используемый Hawkular, под -called «CA CA CA». OpenShift документация объясняет, как это сделать: запустить

base64 -d <<< \ 
`oc get -o yaml secrets hawkular-metrics-certificate \ 
| grep -i hawkular-metrics-ca.certificate | awk '{print $2}'`

и, если вы используете веб-консоль, сохраните его в файл затем загрузить его под сертификатом назначения CA.

Теперь вам нужно сделать повторное шифрование.

источник

2016-09-09 13:03:47 Joel

2

Разработчик Openshift Metrics здесь.

Извините, если документы недостаточно ясны.

Маршрут используется для выставления Hawkular Metrics, особенно для браузера, на котором запущена консоль OpenShift.

Если вы не указали какие-либо сертификаты, система будет использовать самозаверяющий сертификат. Браузер будет жаловаться, что этому самоподписанному сертификату не доверяют, но вы обычно можете просто щелкнуть, чтобы принять его в любом случае. Если вы в порядке с этим, вам не нужно делать никаких дополнительных шагов.

Если вы хотите, чтобы браузер доверял этому соединению по умолчанию, вам необходимо будет предоставить свои собственные сертификаты, подписанные доверенным центром сертификации. Это точно похоже на то, как вам придется создавать собственный сертификат, если вы используете обычный сайт под https.

С помощью следующей команды:

$ ос создать маршрут reencrypt hawkular-метрики-reencrypt \ --hostname hawkular-metrics.example.com \ --key/путь/к/ключ \ --cert/путь/к/серт \ --ca-CERT /path/to/ca.crt \ --service hawkular-метрики --dest-ча-CERT /path/to/internal-ca.crt

«cert» соответствует вашему сертификату, подписанному центром сертификации

«ключ» соответствует ключу для вашего сертификата

«ч-CERT» соответствует сертификату Сертификата органов

«Dest-ч-CERT» соответствует сертификатному, подписавшим самоподписывающемуся сертификату, порожденной метрикой Deployer

Документов https://docs.openshift.com/enterprise/3.2/install_config/cluster_metrics.html#metrics-reencrypting-route которые должны объясните, как получить dest-ca-cert из системы.

источник

2016-09-09 13:54:41 mwringe

0

Спасибо, ребята, Оказалось, что это необязательно, как вы упомянули. моя система работала без его создания

источник

2016-09-22 20:12:07 Mahmoud

 Смежные вопросы

  • Нет связанных вопросов^_^