-
HTTP_PROXY -
HTTPS_PROXY -
NO_PROXY
- 文档
- AWS 上的 Red Hat OpenShift 服务
- 运营商
- 管理员任务
- 配置代理支持 history bug_report picture_as_pdf
OpenShift 文档正在迁移,不久后将仅在docs.redhat.com(所有 Red Hat 产品文档的所在地)提供。立即体验新的文档体验。
- 关于
- 新增功能
- ROSA 简介
- 架构
- 教程
- 教程概述
- 使用 HCP 的 ROSA 激活和帐户链接
- 使用 HCP 的 ROSA 私有产品接受和共享
- 验证 ROSA STS 部署的权限
- 使用自定义 DNS 解析器部署 ROSA
- 使用 AWS WAF 和 Amazon CloudFront 保护 ROSA 工作负载
- 使用 AWS WAF 和 AWS ALB 保护 ROSA 工作负载
- 在 ROSA 集群上部署用于数据保护的 OpenShift API
- ROSA 上的 AWS 负载均衡器操作员
- 配置 Microsoft Entra ID(以前称为 Azure Active Directory)作为身份提供程序
- 在使用 STS 的 ROSA 上使用 AWS Secrets Manager CSI
- 在 ROSA 上使用 AWS Kubernetes 控制器
- 在 ROSA 上部署 External DNS Operator
- 使用 ROSA 上的 cert-manager Operator 动态颁发证书
- 为外部流量分配一致的出口 IP
- 使用自定义域名和 TLS 证书更新组件路由
- ROSA 入门
- 部署应用程序
- 入门
- 准备您的环境
- 安装使用 HCP 集群的 ROSA
- 安装 ROSA Classic 集群
- 支持
- Web 控制台
- CLI 工具
- Red Hat OpenShift 集群管理器
- 集群管理
- 安全和合规性
- 身份验证和授权
- 升级
- CI/CD
- 镜像
- 附加服务
- 存储
- 注册表
- Operators
- 网络
- 构建应用程序
- 备份和恢复
- 节点
- 可观察性
- 服务网格
- 无服务器
- 虚拟化
×
在Operator Lifecycle Manager中配置代理支持
覆盖Operator的代理设置
如果配置了集群范围的出站代理,则使用Operator Lifecycle Manager (OLM)运行的Operators会在其部署中继承集群范围的代理设置。“dedicated-admin”角色的管理员也可以通过配置Operator的订阅来覆盖这些代理设置。
|
Operators必须处理为任何托管操作对象中的Pod设置代理设置的环境变量。 |
先决条件
-
以具有“dedicated-admin”角色的用户身份访问Red Hat OpenShift Service on AWS集群。
步骤
-
在Web控制台中导航到**Operators → OperatorHub**页面。
-
选择Operator并单击**安装**。
-
在**安装Operator**页面上,修改
Subscription对象以在spec部分中包含以下一个或多个环境变量例如
包含代理设置覆盖的Subscription对象apiVersion: operators.coreos.com/v1alpha1 kind: Subscription metadata: name: etcd-config-test namespace: openshift-operators spec: config: env: - name: HTTP_PROXY value: test_http - name: HTTPS_PROXY value: test_https - name: NO_PROXY value: test channel: clusterwide-alpha installPlanApproval: Automatic name: etcd source: community-operators sourceNamespace: openshift-marketplace startingCSV: etcdoperator.v0.9.4-clusterwide也可以使用空值取消设置这些环境变量,以删除任何先前设置的集群范围或自定义代理设置。
OLM将这些环境变量作为一个单元处理;如果至少设置了其中一个,则认为所有三个都被覆盖,并且不会对已订阅Operator的部署使用集群范围的默认值。
-
单击**安装**以使Operator可用于选定的命名空间。
-
Operator的CSV出现在相关命名空间后,您可以验证自定义代理环境变量是否已在部署中设置。例如,使用CLI
$ oc get deployment -n openshift-operators \ etcd-operator -o yaml \ | grep -i "PROXY" -A 2示例输出- name: HTTP_PROXY value: test_http - name: HTTPS_PROXY value: test_https - name: NO_PROXY value: test image: quay.io/coreos/etcd-operator@sha256:66a37fd61a06a43969854ee6d3e21088a98b93838e284a6086b13917f96b0d9c ...
注入自定义CA证书
当具有“dedicated-admin”角色的管理员使用配置映射将自定义CA证书添加到集群时,集群网络Operator会将用户提供的证书和系统CA证书合并到单个捆绑包中。您可以将此合并的捆绑包注入到在Operator Lifecycle Manager (OLM)上运行的Operator中,如果您有中间人HTTPS代理,这将非常有用。
先决条件
-
以具有“dedicated-admin”角色的用户身份访问Red Hat OpenShift Service on AWS集群。
-
使用配置映射添加到集群的自定义CA证书。
-
所需的Operator已安装并在OLM上运行。
步骤
-
在Operator订阅所在的命名空间中创建一个空配置映射,并包含以下标签
apiVersion: v1 kind: ConfigMap metadata: name: trusted-ca (1) labels: config.openshift.io/inject-trusted-cabundle: "true" (2)1 配置映射的名称。 2 请求集群网络Operator注入合并的捆绑包。 创建此配置映射后,它会立即填充合并捆绑包的证书内容。
-
更新
Subscription对象以包含一个spec.config部分,该部分将trusted-ca配置映射作为卷挂载到需要自定义CA的Pod中的每个容器。apiVersion: operators.coreos.com/v1alpha1 kind: Subscription metadata: name: my-operator spec: package: etcd channel: alpha config: (1) selector: matchLabels: <labels_for_pods> (2) volumes: (3) - name: trusted-ca configMap: name: trusted-ca items: - key: ca-bundle.crt (4) path: tls-ca-bundle.pem (5) volumeMounts: (6) - name: trusted-ca mountPath: /etc/pki/ca-trust/extracted/pem readOnly: true1 如果不存在,请添加 config部分。2 指定标签以匹配Operator拥有的Pod。 3 创建一个 trusted-ca卷。4 ca-bundle.crt作为配置映射键是必需的。5 tls-ca-bundle.pem作为配置映射路径是必需的。6 创建一个 trusted-ca卷挂载。Operator的部署可能无法验证权限并显示
x509 certificate signed by unknown authority错误。即使在使用Operator订阅注入自定义CA后,也可能出现此错误。在这种情况下,您可以使用Operator的订阅将mountPath设置为/etc/ssl/certsfor trusted-ca。