摘要:Xray helm chart 需要能够接收用于 Artifactory 的自定义证书并将该证书应用于路由器容器。
详细信息:我们已经通过 helm 成功安装了 Artifactory。安装后,我们使用自定义证书为 Artifactory Web 应用程序配置了 TLS。尝试通过 helm 部署 Xray 时,xray 服务器 pod 的路由器容器将不断无法连接到 Artifactory,并显示错误消息
错误:获取https://[url redacted]/access/api/v1/system/ping: x509: certificate signed by unknown authority
似乎没有任何方法可以传递包含自定义证书的秘密。看起来目前唯一的选择是自定义 helm 图表以在容器中安装证书,但如果与 Jfrog 同步以接收漏洞数据库更新或来自 Jfrog 的任何其他更新 X 射线请求,这将使我们无法工作。
编辑 - 有人遇到同样的问题。Xray 甚至可以做我们当时想做的事情吗?
来自 Jfrog 支持的更新:
关于将 CA 证书链添加/导入到 Xray 的查询,我们已经有一个相同的 Jira,我们的团队目前正在处理它。作为一种解决方法,我会要求您使用 ssl 证书安装自定义卷。然后运行命令将 ssl 证书从 init 容器导入到 cacerts 文件中。解决方法:创建一个 Kubernetes configMap,添加根 CA 和从属 CA,然后将其挂载到位于 /usr/local/share/ca-certificates 的 xray-server。然后我登录到服务器,并在 xray 服务器中执行 docker exec -it -u root(因为容器以非 root 用户身份运行),然后运行命令 update-ca-certificates 来导入 CA 证书。完成此操作后,Xray 将能够与 Artifactory 对话。这种解决方法的缺点是我们需要在每次容器重新启动时运行上述步骤。