第 6 章 续订 AMQ Interconnect 证书

当证书过期时,您必须续订保护 Red Hat OpenStack Platform (RHOSP)和 Service Telemetry Framework (STF)之间的 AMQ Interconnect 连接的 CA 证书。续订由 Red Hat OpenShift Container Platform 中的 cert-manager 组件自动处理,但您必须手动将更新的证书复制到 RHOSP 节点。

6.1. 检查已过期的 AMQ Interconnect CA 证书

当 CA 证书过期时,AMQ Interconnect 连接会保留,但如果它们中断,则无法重新连接。最后,来自 Red Hat OpenStack Platform (RHOSP)分配路由器的一些或所有连接都失败,在两端显示错误,以及 CA 证书中的 expiry 或 Not After 字段。

流程

  1. 登录到 Red Hat OpenShift Container Platform。
  2. 进入 service-telemetry 命名空间:

    $ oc project service-telemetry
  3. 验证部分或所有分配路由器连接是否都失败:

    $ oc exec -it $(oc get po -l application=default-interconnect -o jsonpath='{.items[0].metadata.name}') -- qdstat --connections | grep Router | wc
          0       0       0
  4. 检查 Red Hat OpenShift Container Platform-hosted AMQ Interconnect 日志中出现的这个错误:

    $ oc logs -l application=default-interconnect | tail
    [...]
    2022-11-10 20:51:22.863466 +0000 SERVER (info) [C261] Connection from 10.10.10.10:34570 (to 0.0.0.0:5671) failed: amqp:connection:framing-error SSL Failure: error:140940E5:SSL routines:ssl3_read_bytes:ssl handshake failure
  5. 登录到您的 RHOSP undercloud。
  6. 检查在带有失败连接的节点的 RHOSP 托管 AMQ Interconnect 日志中出现这个错误:

    $ ssh controller-0.ctlplane -- sudo tail /var/log/containers/metrics_qdr/metrics_qdr.log
    [...]
    2022-11-10 20:50:44.311646 +0000 SERVER (info) [C137] Connection to default-interconnect-5671-service-telemetry.apps.mycluster.com:443 failed: amqp:connection:framing-error SSL Failure: error:0A000086:SSL routines::certificate verify failed
  7. 通过检查 RHOSP 节点上的文件来确认 CA 证书已过期:

    $ ssh controller-0.ctlplane -- cat /var/lib/config-data/puppet-generated/metrics_qdr/etc/pki/tls/certs/CA_sslProfile.pem | openssl x509 -text | grep "Not After"
                Not After : Nov 10 20:31:16 2022 GMT
    
    $ date
    Mon Nov 14 11:10:40 EST 2022