Red Hat Training

A Red Hat training course is available for Red Hat OpenStack Platform

17.4.6. 为使用 IdM 子域的部署配置 undercloud 集成,并使用 IdM 生成的证书替换现有的公共端点证书

此流程解释了如何使用 IdM 子域为部署配置 undercloud 集成,以及如何使用 IdM 生成的证书替换现有的公共端点证书。

  1. 确保 openstack overcloud deploy 命令(具有有效设置)中存在以下参数,然后重新运行部署命令:

    • ' --NTP-server' - 如果还没有设置,请指定 NTP 服务器以适应您的环境。IdM 服务器应该正在运行 ntp。
    • cloud-names.yaml - 包含初始部署命令的 FQDN (而非 IP)。
    • enable-tls.yaml - 包含新的 overcloud 证书。例如,请参阅 https://github.com/openstack/tripleo-heat-templates/blob/master/environments/ssl/enable-tls.yaml
    • public_vip.yaml - 将端点映射到特定的 ip,以便 dns 可以匹配。
    • 'Extras.yaml ' - Contains settings for pam to make home directorys on login, no ntp setup、base IdM 域以及 dns search for resolv.conf。
    • enable-internal-tls.yaml - 为内部端点启用 TLS。
    • tls-everywhere-endpoints-dns.yaml - Configures TLS endpoints using DNS names.您可以查看此文件的内容来检查配置范围。
    • HAProxy-public-tls-certmonger.yaml - certmonger 将管理 haproxy 中的内部和公共证书。

    • inject-trust-anchor.yaml - 添加 root 证书颁发机构。只有证书依赖默认尚未被默认使用的通用集合的 CA 链时才需要 ; 例如,当使用自签名时。

      例如: 

      [ stack@undercloud ~]$ openstack overcloud deploy \
...
  --ntp-server 10.13.57.78 \
  -e /home/stack/cloud-names.yaml \
  -e /home/stack/enable-tls.yaml \
  -e /home/stack/public_vip.yaml \
  -e /home/stack/extras.yaml \
  -e <tripleo-heat-templates>/environments/ssl/enable-internal-tls.yaml \
  -e <tripleo-heat-templates>/environments/ssl/tls-everywhere-endpoints-dns.yaml \
  -e <tripleo-heat-templates>/environments/services/haproxy-public-tls-certmonger.yaml \
  -e /home/stack/inject-trust-anchor.yaml
...
      注意
注意

在本例中,模板 enable-internal-tls.j2.yamlovercloud deploy 命令中被引用为 enable-internal-tls.yaml。另外,enable-tls.yaml 中的旧公共端点证书会使用 haproxy-public-tls-certmonger.yaml 替换 certmonger,但该文件仍必须在升级过程中被引用。