29.2. Activation du proxy à l'échelle du cluster

Procédure

1. Créez une carte de configuration contenant tous les certificats d'autorité de certification supplémentaires requis pour les connexions HTTPS.

   Note

   Vous pouvez sauter cette étape si le certificat d'identité du proxy est signé par une autorité du groupe de confiance RHCOS.

   1. Créez un fichier appelé user-ca-bundle.yaml avec le contenu suivant, et fournissez les valeurs de vos certificats encodés PEM :

      apiVersion: v1
      data:
        ca-bundle.crt: | 1
          <MY_PEM_ENCODED_CERTS> 2
      kind: ConfigMap
      metadata:
        name: user-ca-bundle 3
        namespace: openshift-config 4

      1

      Cette clé de données doit être nommée ca-bundle.crt.

      2

      Un ou plusieurs certificats X.509 encodés PEM utilisés pour signer le certificat d'identité du proxy.

      3

      Le nom de la carte de configuration qui sera référencée dans l'objet Proxy.

      4

      La carte de configuration doit se trouver dans l'espace de noms openshift-config.

   2. Créez la carte de configuration à partir de ce fichier :

      $ oc create -f user-ca-bundle.yaml

2. Utilisez la commande oc edit pour modifier l'objet Proxy:

   $ oc edit proxy/cluster

3. Configurez les champs nécessaires pour le proxy :

   apiVersion: config.openshift.io/v1
   kind: Proxy
   metadata:
     name: cluster
   spec:
     httpProxy: http://<username>:<pswd>@<ip>:<port> 1
     httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
     noProxy: example.com 3
     readinessEndpoints:
     - http://www.google.com 4
     - https://www.google.com
     trustedCA:
       name: user-ca-bundle 5

   1

   URL proxy à utiliser pour créer des connexions HTTP en dehors du cluster. Le schéma de l'URL doit être http.

   2

   URL de proxy à utiliser pour créer des connexions HTTPS en dehors du cluster. Le schéma d'URL doit être http ou https. Spécifiez une URL pour le proxy qui prend en charge le schéma d'URL. Par exemple, la plupart des mandataires signaleront une erreur s'ils sont configurés pour utiliser https alors qu'ils ne prennent en charge que http. Ce message d'erreur peut ne pas se propager dans les journaux et peut apparaître comme une défaillance de la connexion réseau. Si vous utilisez un proxy qui écoute les connexions https du cluster, vous devrez peut-être configurer le cluster pour qu'il accepte les autorités de certification et les certificats utilisés par le proxy.

   3

   Une liste de noms de domaines de destination, de domaines, d'adresses IP ou d'autres CIDR de réseau, séparés par des virgules, pour exclure le proxys.

   Faites précéder un domaine de . pour qu'il corresponde uniquement aux sous-domaines. Par exemple, .y.com correspond à x.y.com, mais pas à y.com. Utilisez * pour contourner le proxy pour toutes les destinations. Si vous mettez à l'échelle des travailleurs qui ne sont pas inclus dans le réseau défini par le champ networking.machineNetwork[].cidr de la configuration d'installation, vous devez les ajouter à cette liste pour éviter les problèmes de connexion.

   Ce champ est ignoré si les champs httpProxy et httpsProxy ne sont pas renseignés.

   4

   Une ou plusieurs URL externes au cluster à utiliser pour effectuer un contrôle de disponibilité avant d'écrire les valeurs httpProxy et httpsProxy dans l'état.

   5

   Une référence à la carte de configuration dans l'espace de noms openshift-config qui contient des certificats d'autorité de certification supplémentaires requis pour les connexions HTTPS par procuration. Notez que la carte de configuration doit déjà exister avant d'être référencée ici. Ce champ est obligatoire sauf si le certificat d'identité du proxy est signé par une autorité du groupe de confiance RHCOS.

4. Enregistrez le fichier pour appliquer les modifications.