第7章 S3 エンドポイント間の SSL アクセスの設定
s3 エンドポイント 間のネットワーク (SSL) アクセスを設定して、メタデータを安全なトランスポートプロトコルを使用する MCG object bucket の代替クラスターと、オブジェクトバケットへのアクセスを確認するための ハブクラスター に保存できるようにします。
すべての OpenShift クラスターが環境の署名済みの有効な証明書セットを使用してデプロイされる場合は、このセクションを省略できます。
手順
プライマリーマネージドクラスター の Ingress 証明書を展開し、出力を
primary.crtに保存します。$ oc get cm default-ingress-cert -n openshift-config-managed -o jsonpath="{['data']['ca-bundle\.crt']}" > primary.crtセカンダリーマネージドクラスターの Ingress 証明書を抽出し、出力を
secondary.crtに保存します。$ oc get cm default-ingress-cert -n openshift-config-managed -o jsonpath="{['data']['ca-bundle\.crt']}" > secondary.crtプライマリーマネージドクラスター、セカンダリーマネージドクラスター、および ハブクラスター 上のファイル名
cm-clusters-crt.yamlを使用して、リモートクラスターの証明書バンドルを保持する新しい ConfigMap を作成します。注記この例のように、クラスターごとに 3 つ以上の証明書が存在する可能性があります。また、以前作成した
primary.crtファイルおよびsecondary.crtファイルから、証明書の内容をコピーして貼り付けた後に、証明書の内容が正しくインデントされていることを確認します。apiVersion: v1 data: ca-bundle.crt: | -----BEGIN CERTIFICATE----- <copy contents of cert1 from primary.crt here> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <copy contents of cert2 from primary.crt here> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <copy contents of cert3 primary.crt here> -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- <copy contents of cert1 from secondary.crt here> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <copy contents of cert2 from secondary.crt here> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <copy contents of cert3 from secondary.crt here> -----END CERTIFICATE----- kind: ConfigMap metadata: name: user-ca-bundle namespace: openshift-configプライマリーマネージドクラスター、セカンダリーマネージドクラスター、およびハブクラスターに ConfigMap ファイルを作成します。
$ oc create -f cm-clusters-crt.yaml
出力例:
configmap/user-ca-bundle created
重要ハブクラスターが DRPolicy リソースを使用してオブジェクトバケットへのアクセスを確認するには、同じ ConfigMap
cm-clusters-crt.yamlをハブクラスターに作成する必要もあります。プライマリーマネージドクラスター、セカンダリーマネージドクラスター、および ハブクラスター 上のデフォルトのプロキシーリソースにパッチを適用します。
$ oc patch proxy cluster --type=merge --patch='{"spec":{"trustedCA":{"name":"user-ca-bundle"}}}'出力例:
proxy.config.openshift.io/cluster patched
