$ oc create secret tls <name>-tls --cert=fullchain.pem --key=privkey.pem -n <my_project>- 文档
- AWS 上的 Red Hat OpenShift 服务
- 构建应用程序
- 部署
- 应用程序自定义域名 history bug_report picture_as_pdf
OpenShift 文档正在迁移,很快将只在docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验新的文档体验。
- 关于
- 新增功能
- ROSA 简介
- 架构
- 教程
- 教程概述
- ROSA 与 HCP 激活和帐户链接
- ROSA 与 HCP 私有产品接受和共享
- 验证 ROSA STS 部署的权限
- 使用自定义 DNS 解析器部署 ROSA
- 使用 AWS WAF 和 Amazon CloudFront 保护 ROSA 工作负载
- 使用 AWS WAF 和 AWS ALB 保护 ROSA 工作负载
- 在 ROSA 集群上部署用于数据保护的 OpenShift API
- ROSA 上的 AWS 负载均衡器操作符
- 配置 Microsoft Entra ID(以前称为 Azure Active Directory)作为身份提供程序
- 在 ROSA 与 STS 上使用 AWS Secrets Manager CSI
- 在 ROSA 上使用 AWS Controllers for Kubernetes
- 在 ROSA 上部署 External DNS Operator
- 使用 ROSA 上的 cert-manager Operator 动态颁发证书
- 为外部流量分配一致的出站 IP
- 使用自定义域名和 TLS 证书更新组件路由
- ROSA 入门
- 部署应用程序
- 入门
- 准备您的环境
- 安装 ROSA 与 HCP 集群
- 安装 ROSA 经典集群
- 支持
- Web 控制台
- CLI 工具
- Red Hat OpenShift 集群管理器
- 集群管理
- 安全和合规性
- 身份验证和授权
- 升级
- CI/CD
- 镜像
- 附加服务
- 存储
- 注册表
- Operators
- Operators 概述
- 了解 Operators
- 用户任务
- 管理员任务
- 开发 Operators
- 关于 Operator SDK
- 安装 Operator SDK CLI
- 基于 Go 的 Operators
- 基于 Ansible 的 Operators
- 基于 Helm 的 Operators
- 定义集群服务版本 (CSV)
- 使用 Bundle 镜像
- 符合 Pod 安全准入
- 使用 Scorecard 验证 Operators
- 验证 Operator bundle
- 高可用性或单节点集群检测和支持
- 使用 Prometheus 配置内置监控
- 配置 Leader 选举
- 对象修剪工具
- 将包清单项目迁移到 bundle 格式
- Operator SDK CLI 参考
- 迁移到 Operator SDK v0.1.0
- 网络
- 构建应用程序
- 备份和还原
- 节点
- 可观测性
- 服务网格
- 无服务器
- 虚拟化
×
应用程序自定义域名
|
从 Red Hat OpenShift Service on AWS 4.14 版本开始,自定义域名操作符已弃用。要管理 Red Hat OpenShift Service on AWS 4.14 中的 Ingress,请使用 Ingress 操作符。Red Hat OpenShift Service on AWS 4.13 和更早版本的功能保持不变。 |
您可以为您的应用程序配置自定义域名。自定义域名是可与 Red Hat OpenShift Service on AWS 应用程序一起使用的特定通配符域名。
为应用程序配置自定义域名
顶级域名 (TLD) 由运营 Red Hat OpenShift Service on AWS 集群的客户拥有。自定义域名操作符会设置一个新的带有自定义证书的 Ingress 控制器作为第二天操作。然后,外部 DNS 可以使用此 Ingress 控制器的公共 DNS 记录来创建通配符 CNAME 记录,用于自定义域名。
|
不支持自定义 API 域名,因为 Red Hat 控制 API 域名。但是,客户可以更改其应用程序域名。对于具有私有 |
先决条件
-
具有
dedicated-admin权限的用户帐户 -
唯一的域名或通配符域名,例如
*.apps.<company_name>.io -
自定义证书或通配符自定义证书,例如
CN=*.apps.<company_name>.io -
访问安装了最新版本
ocCLI 的集群
请勿在CustomDomain CR 的metadata/name: 部分中使用保留名称default 或apps*(例如apps 或apps2)。 |
步骤
-
从私钥和公钥证书创建一个新的 TLS 密钥,其中
fullchain.pem和privkey.pem是您的公共或私有通配符证书。示例 -
创建一个新的
CustomDomain自定义资源 (CR)示例<company_name>-custom-domain.yamlapiVersion: managed.openshift.io/v1alpha1 kind: CustomDomain metadata: name: <company_name> spec: domain: apps.<company_name>.io (1) scope: External loadBalancerType: Classic (2) certificate: name: <name>-tls (3) namespace: <my_project> routeSelector: (4) matchLabels: route: acme namespaceSelector: (5) matchLabels: type: sharded1 自定义域名。 2 自定义域名的负载均衡器类型。此类型可以是默认的 classic或如果您使用网络负载均衡器,则为NLB。3 在上一步骤中创建的密钥。 4 可选:过滤 CustomDomain Ingress 提供服务的路由集。如果未提供值,则默认为不进行过滤。 5 可选:过滤 CustomDomain Ingress 提供服务的命名空间集。如果未提供值,则默认为不进行过滤。 -
应用 CR
示例$ oc apply -f <company_name>-custom-domain.yaml -
获取新创建的 CR 的状态
$ oc get customdomains示例输出NAME ENDPOINT DOMAIN STATUS <company_name> xxrywp.<company_name>.cluster-01.opln.s1.openshiftapps.com *.apps.<company_name>.io Ready -
使用端点值,向您的托管 DNS 提供商(例如 Route53)添加新的通配符 CNAME 记录集。
示例*.apps.<company_name>.io -> xxrywp.<company_name>.cluster-01.opln.s1.openshiftapps.com -
创建一个新的应用程序并公开它
示例$ oc new-app --docker-image=docker.io/openshift/hello-openshift -n my-project$ oc create route <route_name> --service=hello-openshift hello-openshift-tls --hostname hello-openshift-tls-my-project.apps.<company_name>.io -n my-project$ oc get route -n my-project$ curl https://hello-openshift-tls-my-project.apps.<company_name>.io Hello OpenShift!
续订自定义域名的证书
您可以使用oc CLI 工具通过自定义域名操作符 (CDO) 续订证书。
先决条件
-
您已安装最新版本的
ocCLI 工具。
步骤
-
创建新的密钥
$ oc create secret tls <secret-new> --cert=fullchain.pem --key=privkey.pem -n <my_project> -
修补 CustomDomain CR
$ oc patch customdomain <company_name> --type='merge' -p '{"spec":{"certificate":{"name":"<secret-new>"}}}' -
删除旧密钥
$ oc delete secret <secret-old> -n <my_project>
故障排除