3.4. 配置 TLS 和路由
通过新的受管组件 tls,增加了对 OpenShift Container Platform Edge-Termination 路由的支持。这会将 路由 组件与 TLS 分开,并允许用户单独配置它们。EXTERNAL_TLS_TERMINATION:true 是建议的设置。managed tls 意味着使用默认的集群通配符证书。非受管 tls 意味着用户提供的 cert/key 对将注入到 Route 中。
SSL.cert 和 ssl.key 现在被移到一个单独的持久的 Secret 中,这样可确保在每次协调时不会重新生成 cert/key 对。现在,它们被格式化为 边缘路由,并挂载到 Quay 容器中的同一目录中。
在配置 TLS 和路由时,可以多次修改,但适用以下规则:
-
如果 TLS
管理,则必须管理路由 -
如果 TLS 是
非受管状态,则必须提供 certs,使用 config 工具或直接在配置捆绑包中提供
下表概述有效选项:
表 3.3. TLS 和路由的有效配置选项
| 选项 | Route | TLS | 提供的证书 | 结果 |
|---|---|---|---|---|
| 我的负载均衡器可以处理 TLS | Managed | Managed | 否 | 带有默认通配符证书的边缘路由 |
| Red Hat Quay 处理 TLS | Managed | Unmanaged | 是 | 带有在 pod 中挂载的 certs 的 passthrough 路由 |
| Red Hat Quay 处理 TLS | Unmanaged | Unmanaged | 是 | 证书在 quay pod 中进行设置,但必须手动创建路由 |
当由 Operator 管理 TLS 时,Red Hat Quay 3.6 不支持构建器。
3.4.1. 使用 TLS 证书创建配置捆绑包 secret,密钥对:
要添加您自己的 TLS 证书和密钥,请在配置捆绑包 secret 中包括它们,如下所示:
$ oc create secret generic --from-file config.yaml=./config.yaml --from-file ssl.cert=./ssl.cert --from-file ssl.key=./ssl.key config-bundle-secret
