Как создать маршрут повторного шифрования для hawkular-метрик в OpenShift Enterprise 3.2

Разработчик Openshift Metrics здесь.

Извините, если документы были недостаточно четкими.

Маршрут используется для представления метрик Hawkular, особенно для браузера, в котором запущена консоль OpenShift.

Если вы не укажете сертификаты, система будет использовать самозаверяющий сертификат. Браузер будет жаловаться, что этот самозаверяющий сертификат не является доверенным, но вы можете в любом случае просто щелкнуть по нему, чтобы принять его. Если вы согласны с этим, вам не нужно делать никаких дополнительных шагов.

Если вы хотите, чтобы браузер доверял этому соединению по умолчанию, вам нужно будет предоставить собственные сертификаты, подписанные доверенным центром сертификации. Это в точности аналогично тому, как вам нужно было бы создать собственный сертификат, если вы работаете с обычным сайтом в https.

Из следующей команды:

$ oc создать маршрут повторно зашифровать hawkular-metrics-reencrypt \ --hostname hawkular-metrics.example.com \ --key / path / to / key \ --cert / path / to / cert \ --ca-cert / path / to / ca.crt \ --service hawkular-metrics --dest-ca-cert /path/to/internal-ca.crt

'cert' соответствует вашему сертификату, подписанному центром сертификации

"ключ" соответствует ключу для вашего сертификата

'ca-cert' соответствует сертификату центра сертификации

'dest-ca-cert' соответствует центру сертификации, который подписал самоподписанный сертификат, созданный средством развертывания метрик.

Документы https://docs.openshift.com/enterprise/3.2/install_config/cluster_metrics.html должны объяснить, как получить dest-ca-cert из системы

Прежде всего, насколько мне известно, обратите внимание, что использование маршрута повторного шифрования необязательно. В документации упоминается развертывание без импорта какого-либо сертификата:

oc secrets new metrics-deployer nothing=/dev/null

И вы должны быть в состоянии начать с этого и заставить ястреб работать (например, вы сможете свернуться с опцией '-k'). Но иногда требуется повторное шифрование, некоторые клиенты отказываются общаться с ненадежными сертификатами.

На этой странице объясняются, какие сертификаты необходимы здесь: https://docs.openshift.com/enterprise/3.1/install_config/cluster_metrics.html

Обратите внимание, что вы также можете настроить его из веб-консоли, если вам удобнее: из https://(your_openshift_host)/console/project/openshift-infra/browse/routes вы можете создать новый маршрут и загрузить файлы сертификатов. с этой страницы. Под "Завершение TLS" выберите "Перешифровать", затем предоставьте 4 файла сертификата.

Если вы не знаете, как создавать самозаверяющие сертификаты, вы можете выполнить действия, описанные здесь: https://datacenteroverlords.com/2012/03/01/creating-your-own-ssl-certificate-authority/. В итоге вы получите файл rootCA.pem (используйте его для "CA Certificate"), файл device.key (или назовите его hawkular.key и загрузите его как закрытый ключ) и файл device.crt (вы можете назовите его hawkular.pem, это сертификат формата PEM). Когда вас спросят об общем имени, обязательно введите имя хоста для вашего сервера hawkular, например "hawkular-metrics.example.com"

Последним, который необходимо предоставить, является текущий самозаверяющий сертификат, используемый Hawkular под так называемым "Сертификатом CA пункта назначения". Документация OpenShift объясняет, как ее получить: запустить

base64 -d <<< \
`oc get -o yaml secrets hawkular-metrics-certificate \
| grep -i hawkular-metrics-ca.certificate | awk '{print $2}'`

и, если вы используете веб-консоль, сохраните ее в файл, а затем загрузите в соответствии с сертификатом CA получателя.

Теперь вам нужно покончить с повторным шифрованием.

Спасибо, ребята, это оказалось необязательным, как вы упомянули. моя система работала без ее создания