Red Hat Training
A Red Hat training course is available for Red Hat OpenStack Platform
17.4.3. 为使用与 IdM 相同的域的部署配置 overcloud 集成,并使用 IdM 生成的证书替换现有的公共端点证书
确保
openstack overcloud deploy命令(具有有效设置)中存在以下参数,然后重新运行部署命令:- ' --NTP-server' - 如果还没有设置,请指定 NTP 服务器以适应您的环境。IdM 服务器应该正在运行 ntp。
-
cloud-names.yaml- 包含初始部署命令的 FQDN (而非 IP)。 -
enable-tls.yaml- 包含新的 overcloud 证书。例如,请参阅 https://github.com/openstack/tripleo-heat-templates/blob/master/environments/ssl/enable-tls.yaml。 -
public_vip.yaml- 将端点映射到特定的 ip,以便 dns 可以匹配。 -
enable-internal-tls.yaml- 为内部端点启用 TLS。 -
tls-everywhere-endpoints-dns.yaml- Configures TLS endpoints using DNS names.您可以查看此文件的内容来检查配置范围。 -
HAProxy-public-tls-certmonger.yaml- certmonger 将管理 haproxy 中的内部和公共证书。 inject-trust-anchor.yaml- 添加 root 证书颁发机构。只有证书依赖默认尚未被默认使用的通用集合的 CA 链时才需要 ; 例如,当使用自签名时。例如:
[ stack@undercloud ~]$ openstack overcloud deploy \ ... --ntp-server 10.13.57.78 \ -e /home/stack/cloud-names.yaml \ -e /home/stack/enable-tls.yaml \ -e /home/stack/public_vip.yaml \ -e <tripleo-heat-templates>/environments/ssl/enable-internal-tls.yaml \ -e <tripleo-heat-templates>/environments/ssl/tls-everywhere-endpoints-dns.yaml \ -e <tripleo-heat-templates>/environments/services/haproxy-public-tls-certmonger.yaml \ -e /home/stack/inject-trust-anchor.yaml ...
注意
注意
模板 enable-internal-tls.j2.yaml 在 overcloud deploy 命令中被引用为 enable-internal-tls.yaml。
另外,enable-tls.yaml 中的旧公共端点证书将被 certmonger 替换为 haproxy-public-tls-certmonger.yaml,但该文件仍必须在升级过程中被引用。