使用密钥创建 OpenShift TLS 路由

很遗憾，据我所知，无法将证书配置为secret在route中。如果您只想使用除yaml文件以外的其他方法创建route对象，则可以使用以下CLI配置route。

oc create route edge --service=frontend \
    --cert=${MASTER_CONFIG_DIR}/ca.crt \
    --key=${MASTER_CONFIG_DIR}/ca.key \
    --ca-cert=${MASTER_CONFIG_DIR}/ca.crt \
    --hostname=www.example.com

可以使用TLS处理路由模板，而无需共享证书和私钥密钥。

1. 将CA证书、服务器证书和服务器私钥存储在TLS secret中
2. 运行oc get secrets命令以获取tls.key/tls.crt/ca.crt文件
3. 在路由模板中设置：

• TLS_PRIVATE_KEY/TLS_CERTIFICATE/CA_CERTIFICATE参数
• tls.key: ${TLS_PRIVATE_KEY}，tls.certificate: ${TLS_CERTIFICATE}，tls.caCertificate: ${CA_CERTIFICATE}

4. 使用 -p "TLS_PRIVATE_KEY=$(cat tls.key)" -p "TLS_CERTIFICATE=$(cat tls.crt)" -p "CA_CERTIFICATE=$(cat ca.crt)" 命令运行oc process模板

多行参数的想法来自于：https://github.com/openshift/origin/issues/10687

使用Helm更容易从secret中获取TLS值：lookup函数可以完成这项工作。

tls:
    insecureEdgeTerminationPolicy: Redirect
    termination: edge
    key: {{ index (lookup "v1" "Secret" .Release.Namespace "my-tls-secret").data "tls.key" | b64dec | quote }}
    certificate: {{ index (lookup "v1" "Secret" .Release.Namespace "my-tls-secret").data "tls.crt" | b64dec | quote }}
    caCertificate: {{ index (lookup "v1" "Secret" .Release.Namespace "my-tls-secret").data "ca.crt" | b64dec | quote }}

这个提示指向了：https://dev59.com/ilMI5IYBdhLWcg3wd7PB#64325744

Cert Utils Operator 的一个功能是填充路由证书。

假设您有一个路由myroute和一个密钥mysecret：

$ oc annotate route/myroute cert-utils-operator.redhat-cop.io/certs-from-secret=mysecret

我的RFE被RedHat关闭了，因为它应该是OpenShift4的一个要求。与此同时，我开始使用tls secrets，并直接在我的容器中管理TLS终止，而不是在路由上。

它就像这样进行。有一种用于TLS的秘密类型。

oc create secret tls mytlsSecret --cert= --key=