首先,据我所知,请注意,使用重新加密路由是可选的。该文档提到在不导入任何证书的情况下进行部署:
oc secrets new metrics-deployer nothing=/dev/null
你应该能够从那开始并使 hawkular 工作(例如,你将能够使用'-k' 选项卷曲)。但是有时需要重新加密路由,一些客户端拒绝与不受信任的证书通信。
此页面解释了此处需要哪些证书:https ://docs.openshift.com/enterprise/3.1/install_config/cluster_metrics.html#metrics-reencrypting-route
请注意,如果您觉得更方便,也可以从 Web 控制台配置它:从https://(your_openshift_host)/console/project/openshift-infra/browse/routes,您可以创建新路由并上传证书文件从那个页面。在“TLS 终止”下选择“重新加密”,然后提供 4 个证书文件。
如果您不知道如何生成自签名证书,可以按照此处描述的步骤操作:https ://datacenteroverlords.com/2012/03/01/creating-your-own-ssl-certificate-authority/ 。您最终会得到一个 rootCA.pem 文件(将其用于“CA 证书”)、一个 device.key 文件(或将其命名为 hawkular.key,并将其作为私钥上传)和一个 device.crt 文件(您可以将其命名为 hawkular.pem,它是 PEM 格式证书)。当询问通用名称时,请确保输入您的 hawkular 服务器的主机名,例如“hawkular-metrics.example.com”
最后提供的是 Hawkular 当前使用的自签名证书,即所谓的“目标 CA 证书”。OpenShift 文档解释了如何获取它:运行
base64 -d <<< \
`oc get -o yaml secrets hawkular-metrics-certificate \
| grep -i hawkular-metrics-ca.certificate | awk '{print $2}'`
并且,如果您使用的是 Web 控制台,请将其保存到文件中,然后在目标 CA 证书下上传。
现在您应该完成重新加密。