iManager微服務(雲套件)配置https證書流程步驟
阿新 • • 發佈:2020-09-14
針對10.1之前版本,需要手動去配置證書,未來版本會考慮進行介面化配置。
一、提前準備
1. 證書需要準備三個檔案
- *.key
- *.crt
- *.keystore
2. 需要知道自己建立的微服務是哪個名稱空間下的
例如下圖:微服務(雲套件)名稱空間為:icloud-native-10
二、Keycloak 證書替換
1.訪問K8S UI右上角點選建立按鈕
2.建立Keycloak PVC掛載目錄
kind: PersistentVolumeClaim apiVersion: v1 metadata: name: pvc-keycloak-certificate-${appsetId} labels: type: icloud-native spec: accessModes: - ReadWriteMany resources: requests: storage: 100Mi storageClassName: appset-storage-class-gisappset
其中 ${appsetId} 用實際 id 替換,id 是結尾的數字,比如 icloud-native-10,id 就是 10。
如果儲存類有修改,那麼用實際的儲存類替換,預設使用的是 appset-storage-class-gisappset
建立完成後可以在K8S UI上進行搜尋
pvc-keycloak-certificate-10
點選名稱
點選儲存卷
即可找到物理儲存地址
3.將.key和*.crt證書放到上一步物理儲存地址,並修改檔名為tls.key 和 tls.crt,其中 tls.key 是私鑰,tls.crt 是公鑰。
4.給予 tls.key 和 tls.crt 檔案許可權
chmod 755 *
5.修改keycloak編排檔案
kubectl -n icloud-native-${appsetId} edit deploy iserver-gateway
5.1 增加pvc
volumes:
- name: certificate
persistentVolumeClaim:
claimName: pvc-keycloak-certificate-10
5.2 將 keycloak 容器的 /etc/x509/https 目錄掛載到證書目錄
volumeMounts: - mountPath: /etc/x509/https name: certificate
6.儲存退出後,會重新建立Pod
輸入:wq ,儲存退出並更新編排
:wq
7.Keycloak證書更新,其表現在微服務(雲套件)登入。
二、Gateway 證書替換
1.訪問K8S UI右上角點選建立按鈕
2.建立Gateway PVC掛載目錄
kind: PersistentVolumeClaim
apiVersion: v1
metadata:
name: pvc-gateway-certificate-${appsetId}
labels:
type: icloud-native
spec:
accessModes:
- ReadWriteMany
resources:
requests:
storage: 100Mi
storageClassName: appset-storage-class-gisappset
建立完成後可以在K8S UI上進行搜尋
pvc-gateway-certificate-10
點選名稱
點選儲存卷
即可找到物理儲存地址
3.將keystore證書放到上一步物理儲存地址。
4.給予*.keystore檔案許可權
chmod 755 *
5.修改Gateway編排檔案
kubectl -n icloud-native-${appsetId} edit deploy iserver-gateway
5.1 增加pvc
- name: certificate
persistentVolumeClaim:
claimName: pvc-gateway-certificate-10
5.2 只保留 gateway 啟動指令碼
5.3 增加對映目錄
- mountPath: /etc/icloud/gateway/config/certificate
name: certificate
5.4 修改https證書環境配置
- icn_ext_param_server_ssl_keyAlias 是證書別名
- icn_ext_param_server_ssl_keyStorePassword 證書密碼
- icn_ext_param_server_ssl_keyStoreType 證書型別,比如PKCS12
- icn_ext_param_server_ssl_keyStore 證書所在容器路徑
6.儲存退出後,會重新建立Pod
輸入:wq ,儲存退出並更新編排
:wq