根据启用集群指标的文档,我应该按照以下语句创建重新加密路由
$ oc create route reencrypt hawkular-metrics-reencrypt \
--hostname hawkular-metrics.example.com \
--key /path/to/key \
--cert /path/to/cert \
--ca-cert /path/to/ca.crt \
--service hawkular-metrics
--dest-ca-cert /path/to/internal-ca.crt
Openshift Metrics 开发人员在这里。
抱歉,如果文档不够清楚。
该路由用于公开 Hawkular Metrics,特别是向运行 OpenShift 控制台的浏览器公开。
如果您不指定任何证书,系统将改为使用自签名证书。浏览器会抱怨这个自签名证书不受信任,但您通常可以直接点击接受它。如果您对此感到满意,则无需执行任何额外步骤。
如果您希望浏览器默认信任此连接,则您需要提供由受信任的证书颁发机构签名的自己的证书。这与在 https 下运行普通站点时必须生成自己的证书的方式完全相同。
从以下命令:
$ oc create route reencrypt hawkular-metrics-reencrypt \ --hostname hawkular-metrics.example.com \ --key /path/to/key \ --cert /path/to/cert \ --ca-cert /path/ to/ca.crt \ --service hawkular-metrics --dest-ca-cert /path/to/internal-ca.crt
'cert' 对应于证书颁发机构签署的证书
'key' 对应于您的证书的密钥
'ca-cert' 对应于证书颁发机构证书
'dest-ca-cert' 对应于签署由 metrics deployer 生成的自签名证书的证书颁发机构
文档https://docs.openshift.com/enterprise/3.2/install_config/cluster_metrics.html#metrics-reencrypting-route应该解释如何从系统获取 dest-ca-cert
首先,据我所知,请注意,使用重新加密路由是可选的。该文档提到在不导入任何证书的情况下进行部署:
oc secrets new metrics-deployer nothing=/dev/null
你应该能够从那开始并使 hawkular 工作(例如,你将能够使用'-k' 选项卷曲)。但是有时需要重新加密路由,一些客户端拒绝与不受信任的证书通信。
此页面解释了此处需要哪些证书:https ://docs.openshift.com/enterprise/3.1/install_config/cluster_metrics.html#metrics-reencrypting-route
请注意,如果您觉得更方便,也可以从 Web 控制台配置它:从https://(your_openshift_host)/console/project/openshift-infra/browse/routes,您可以创建新路由并上传证书文件从那个页面。在“TLS 终止”下选择“重新加密”,然后提供 4 个证书文件。
如果您不知道如何生成自签名证书,可以按照此处描述的步骤操作:https ://datacenteroverlords.com/2012/03/01/creating-your-own-ssl-certificate-authority/ 。您最终会得到一个 rootCA.pem 文件(将其用于“CA 证书”)、一个 device.key 文件(或将其命名为 hawkular.key,并将其作为私钥上传)和一个 device.crt 文件(您可以将其命名为 hawkular.pem,它是 PEM 格式证书)。当询问通用名称时,请确保输入您的 hawkular 服务器的主机名,例如“hawkular-metrics.example.com”
最后提供的是 Hawkular 当前使用的自签名证书,即所谓的“目标 CA 证书”。OpenShift 文档解释了如何获取它:运行
base64 -d <<< \
`oc get -o yaml secrets hawkular-metrics-certificate \
| grep -i hawkular-metrics-ca.certificate | awk '{print $2}'`
并且,如果您使用的是 Web 控制台,请将其保存到文件中,然后在目标 CA 证书下上传。
现在您应该完成重新加密。