Корпоративный сертификат

Развернуть все Свернуть все

Прежде чем перейти к добавлению сертификата в кластер, создайте бэкап. В случае ошибки изменения сертификата в кластере, вы сможете использовать бэкап для отката изменений.

Сценарий добавления корпоративного сертификата в кластер #

• Создать сертификат.
• Обновить корневой сертификат в неймспейсе cert-manager.
• Разместить созданный сертификат в секрете неймспейса ingress.
• Добавить customvalues в Модуль управления внешними подключениями shturval-ingress-controller.

После добавления в кластер корпоративного сертификата дополнительная настройка в системных сервисах не требуется. По умолчанию будет использован корпоративный сертификат.

Создание сертификата #

Подготовьте корпоративный сертификат. Инструкция по созданию здесь.

Обновление корневого сертификата #

1. Когда у вас есть корпоративный сертификат, то в кластере перейдите в неймспейс cert-manager. В разделе “Хранилище” найдите Configmap с именем root-ca. На странице root-ca измените значение ключа ca.crt. В значении должен быть ваш корпоративный сертификат.

Сохраните изменения в Configmap root-ca.

2. В неймcпейсе ingress перейдите в раздел Хранилище, откройте страницу Secrets и создайте секрет с именем corp-tls, выберите тип kubernetes.io/tls.

Размещение сертификата в секрете #

Добавьте корпоративный сертификат и ключ корпоративного сертификата в ключ Secret corp-tls.

Сохраните Secret corp-tls.

Добавление customvalues в ingress-controller #

Чтобы внести изменения в customvalues Модуля управления внешними подключениями (shturval-ingress-controller), используйте объект ShturvalServicePatch (PatchSSC):

1. Подготовьте манифест ShturvalServicePatch с требуемым параметром в customvalues, как в приведенном примере ниже.

apiVersion: ops.shturval.tech/v1beta2
kind: ShturvalServicePatch
metadata:
  name: <имя ресурса>
spec:
  shturvalServiceConfigName: shturval-ingress-controller
  customvalues:
    controller:
      extraArgs:
        default-ssl-certificate: "ingress/corp-tls"

2. В графическом интерфейсе с помощью импорта манифеста загрузите в кластер ShturvalServicePatch:

• Нажмите на иконку импорта манифестов, расположенную слева от имени пользователя. Загрузите файл с подготовленным манифестом ShturvalServicePatch для shturval-scanner или перетащите манифест в открывшееся окно. Выполните проверку и нажмите Загрузить.

3. В кластере перейдите в раздел Сервисы и репозитории на страницу Установленные сервисы, найдите Модуль управления внешними подключениями (shturval-ingress-controller) и перейдите к управлению. На вкладке Примененные PatchSSC отобразится загруженный ShturvalServicePatch. Когда ShturvalServicePatch будет применен, на вкладке Сервис статус будет Patched.