第 10 章 配置加密
使用 Red Hat OpenShift 服务证书或自定义 TLS 证书加密客户端和 Data Grid pod 之间的连接。
10.1. 使用 Red Hat OpenShift 服务证书加密
data Grid Operator 会自动生成由 Red Hat OpenShift 服务 CA 签名的 TLS 证书。然后,Data Grid Operator 将证书和密钥存储在 secret 中,以便您可以检索它们并与远程客户端使用。
如果 Red Hat OpenShift 服务 CA 可用,Data Grid Operator 会在 Infinispan CR 中添加以下 spec.security.endpointEncryption 配置:
spec:
security:
endpointEncryption:
type: Service
certServiceName: service.beta.openshift.io
certSecretName: infinispan-cert-secret| 字段 | 描述 |
|---|---|
|
| 指定提供 TLS 证书的服务。 |
|
|
使用 PEM 格式指定服务证书和密钥的 secret。默认为 < |
服务证书使用 Data Grid 集群的内部 DNS 名称作为通用名称(CN),例如:
Subject: CN = example-infinispan.mynamespace.svc
因此,服务证书只能在 OpenShift 中被完全信任。如果要加密与 OpenShift 外部运行的客户端的连接,您应该使用自定义 TLS 证书。
服务证书有效期为一年,并在其过期前自动替换。
