如何在OpenShift Enterprise 3.2中为hawkular度量创建重新加密路由_Openshift_Kubernetes_Openshift Enterprise_Hawkular

如何在OpenShift Enterprise 3.2中为hawkular度量创建重新加密路由

openshift kubernetes

如何在OpenShift Enterprise 3.2中为hawkular度量创建重新加密路由,openshift,kubernetes,openshift-enterprise,hawkular,Openshift,Kubernetes,Openshift Enterprise,Hawkular,根据支持集群度量的文档，我应该按照下面的语句创建重新加密路由 $ oc create route reencrypt hawkular-metrics-reencrypt \ --hostname hawkular-metrics.example.com \ --key /path/to/key \ --cert /path/to/cert \ --ca-cert /path/to/ca.crt \ --service hawkular-metrics --dest-ca-cert

根据支持集群度量的文档，我应该按照下面的语句创建重新加密路由

$ oc create route reencrypt hawkular-metrics-reencrypt \
--hostname hawkular-metrics.example.com \ 
--key /path/to/key \ 
--cert /path/to/cert \ 
--ca-cert /path/to/ca.crt \ 
 --service hawkular-metrics
 --dest-ca-cert /path/to/internal-ca.crt

我应该为这些密钥和证书使用什么
这些已经存在于某个地方，还是我需要创建它们

首先，据我所知，请注意，使用重新加密路由是可选的。文档中提到在不导入任何证书的情况下进行部署：

oc secrets new metrics-deployer nothing=/dev/null

您应该能够从这个开始，并使hawkular工作（例如，您将能够使用'-k'选项进行卷曲）。但重新加密路由有时是必要的，一些客户端拒绝与不受信任的证书通信

本页说明此处需要哪些证书：

请注意，如果您觉得更方便，还可以从web控制台对其进行配置：从，您可以创建新路由并从该页面上载证书文件。在“TLS终止”下选择“重新加密”，然后提供4个证书文件

如果您不知道如何生成自签名证书，可以按照此处描述的步骤进行操作：。您将得到一个rootCA.pem文件（将其用于“CA证书”）、一个device.key文件（或将其命名为hawkular.key，并将其上载为私钥）和一个device.crt文件（您可以将其命名为hawkular.pem，这是pem格式的证书）。当询问通用名称时，请确保输入hawkular服务器的主机名，如“hawkular metrics.example.com”

最后要提供的是Hawkular使用的当前自签名证书，即所谓的“目的地CA证书”。OpenShift文档解释了如何获取它：运行

base64 -d <<< \
`oc get -o yaml secrets hawkular-metrics-certificate \
| grep -i hawkular-metrics-ca.certificate | awk '{print $2}'`

base64-d首先，据我所知，请注意使用重新加密路由是可选的。文档中提到在不导入任何证书的情况下进行部署：
oc secrets new metrics-deployer nothing=/dev/null

您应该能够从这个开始，并使hawkular工作（例如，您将能够使用'-k'选项进行卷曲）。但重新加密路由有时是必要的，一些客户端拒绝与不受信任的证书通信
本页说明此处需要哪些证书：
请注意，如果您觉得更方便，还可以从web控制台对其进行配置：从，您可以创建新路由并从该页面上载证书文件。在“TLS终止”下选择“重新加密”，然后提供4个证书文件
如果您不知道如何生成自签名证书，可以按照此处描述的步骤进行操作：。您将得到一个rootCA.pem文件（将其用于“CA证书”）、一个device.key文件（或将其命名为hawkular.key，并将其上载为私钥）和一个device.crt文件（您可以将其命名为hawkular.pem，这是pem格式的证书）。当询问通用名称时，请确保输入hawkular服务器的主机名，如“hawkular metrics.example.com”
最后要提供的是Hawkular使用的当前自签名证书，即所谓的“目的地CA证书”。OpenShift文档解释了如何获取它：运行
base64 -d <<< \
`oc get -o yaml secrets hawkular-metrics-certificate \
| grep -i hawkular-metrics-ca.certificate | awk '{print $2}'`

base64-dOpenshift度量开发人员
如果文件不够清晰，很抱歉
该路由用于公开Hawkular度量，特别是向运行OpenShift控制台的浏览器公开
如果未指定任何证书，系统将使用自签名证书。浏览器会抱怨此自签名证书不受信任，但您通常可以通过单击来接受它。如果您对此没有问题，那么您不需要执行任何额外的步骤
如果希望浏览器在默认情况下信任此连接，则需要提供由受信任的证书颁发机构签名的自己的证书。这与在https下运行普通站点时必须生成自己的证书的方式完全相似
通过以下命令：
$oc create route reencrypt HAWKULA metrics reencrypt \--主机名HAWKULA-metrics.example.com \--key/path/to/key \--cert/path/to/cert \--ca cert/path/to/ca.crt \--服务HAWKULA metrics--dest ca cert/path/to/internal-ca.crt
“cert”对应于由证书颁发机构签署的证书
“密钥”对应于证书的密钥
“ca证书”对应于证书颁发机构证书
“dest ca cert”对应于对metrics部署程序生成的自签名证书进行签名的证书颁发机构
文档应在此处说明如何从系统获得dest ca证书
如果文件不够清晰，很抱歉
该路由用于公开Hawkular度量，特别是向运行OpenShift控制台的浏览器公开
如果未指定任何证书，系统将使用自签名证书。浏览器会抱怨此自签名证书不受信任，但您通常可以通过单击来接受它。如果您对此没有问题，那么您不需要执行任何额外的步骤
如果希望浏览器在默认情况下信任此连接，则需要提供由受信任的证书颁发机构签名的自己的证书。这与在https下运行普通站点时必须生成自己的证书的方式完全相似
通过以下命令：
$oc create route reencrypt HAWKULA metrics reencrypt \--主机名HAWKULA-metrics.example.com \--key/path/to/key \--cert/path/to/cert \--ca cert/path/to/ca.crt \--服务HAWKULA metrics--dest ca cert/path/to/internal-ca.crt
“cert”对应于由证书颁发机构签署的证书
“密钥”对应于证书的密钥
“ca证书”对应于证书颁发机构证书
“dest ca cert”对应于证书颁发机构