Einrichten von SSL-Zertifikaten auf AWS

Netezza Performance Server für Cloud Pak for Data

Erfahren Sie, wie Sie Ihre eigenen SSL-Zertifikate für Netezza Performance Server auf AWS einrichten können.

Vorbereitende Schritte

Vergewissern Sie sich, dass Sie über die folgenden Bescheinigungen und Gegenstände verfügen:
  • Das SSL-Zertifikat der Domain/des Servers

    Vergewissern Sie sich, dass es sich um das Format " .pem " handelt. Wenn nicht, wandeln Sie sie um. Außerdem müssen Sie ihn in " server-cert.pem umbenennen.

  • Der Serverschlüssel.

    Sie müssen ihn in " server-key.pem umbenennen.

  • Das CA-Zertifikat oder Stammzertifikat.
  • Sie müssen ihn in " cacert.pem umbenennen.
  • Der Namensraum.

Vorgehensweise

  1. Melden Sie sich bei dem Red Hat OpenShift an.
    Sie können sich beim Red Hat OpenShift von der Kommandozeile aus anmelden, indem Sie den folgenden Befehl ausführen.
    oc login https://api.<CLUSTER_NAME>.<ROUTE53_DNS>:6443 --insecure-skip-tls-verify -u kubeadmin -p <password>
    Das Installationsskript schreibt die Anmeldedaten des Red Hat OpenShift in " <installation_script_execution_directory>/envs/<CLUSTER_NAME>/assets/oc_login_details. Red Hat OpenShift erstellt während der Installation einen Standardbenutzer " kubeadmin mit der Rolle " cluster-admin. Das Passwort für den Cluster wird in der Datei " <installation_script_execution_directory>/envs/<CLUSTER_NAME>/assets/auth/kubeadmin-password gespeichert.
  2. Ersetzen Sie die Standard-SSL-Geheimnisse durch Ihre Geheimnisse.
    export NAMESPACE=<ns>
oc -n $NAMESPACE delete secret ssl-secret
oc -n $NAMESPACE create secret generic ssl-secret --from-file=cacert.pem --from-file=server-cert.pem --from-file=server-key.pem
  3. Starten Sie die Netezza Performance Server neu.
    oc -n $NAMESPACE delete pod -l app=console
# wait for the pod to restart, be RUNNING and Ready=1/1
# then press Ctrl-C
oc -n $NAMESPACE get pod -w -l app=console
NAME                       READY   STATUS    RESTARTS   AGE
console-8696c4f97c-wbjtq   0/1     Running   0          67s
console-8696c4f97c-wbjtq   1/1     Running   0          86s
^C
  4. Überprüfen Sie, ob das SSL-Zertifikat mit " host name und " domain name übereinstimmt, die bei der Installation von Netezza Performance Server angegeben wurden.
    Sie können das SLL-Zertifikat in dem Installationsverzeichnis überprüfen, in dem Sie den Befehl " nz-cloud ausgeführt haben.
    # eg On the system that nz-cloud was run from, in the install directory
cat envs/lontest2/assets/cp4d_login_details
cp4d_USERNAME=admin
cp4d_PASSWORD=......
cp4d_CONSOLE_URL=https://zen-cpd-zen.apps.{cluster-name}.ibmnzcloud.com    #

    Wenn das SSL-Zertifikat die Cluster-Domäne verwendet, fahren Sie mit Schritt 4 fort.

    Wenn Ihr SSL-Zertifikat für " *.{ssl-cert-domain}.com gültig ist, Ihr Cluster aber als " *.{cluster-name}.foobar.com installiert wurde, führen Sie die folgenden Teilschritte aus.
    1. Fügen Sie in den DNS-Einträgen Ihres Cloud-Anbieters die folgenden CNAME -Aliase hinzu.
      • {cluser-name}-cpd.{ssl-cert-domain}.com

        Dieser Alias steht für die URL der Webkonsole Cloud Pak for Data.

        Stellen Sie sicher, dass " CNAME auf " zen-cpd-zen.apps.{cluster-name}.ibmnzcloud.com zeigt.
      • {cluser-name}-console.{ssl-cert-domain}.com

        Dieser Alias ist für die URL der Webkonsole des Netezza Performance Server.

        Vergewissern Sie sich, dass ' CNAME auf die Webkonsole verweist.
        oc -n $NAMESPACE get svc console | awk '{print $4}'
      • {cluster-name}-nps.{ssl-cert-domain}.com

        Dieser Alias ist für die Netezza Performance Server selbst.

        Stellen Sie sicher, dass ' CNAME auf den Netezza Performance Server verweist.
        oc -n $NAMESPACE get svc ipshost-external | awk '{print $4}'
      • Richten Sie Red Hat OpenShift so ein, dass sie diese Aliase widerspiegeln und verwenden.
        oc create route passthrough --service=console --port=443 -n $NAMESPACE \
         --hostname={cluster-name}-console.{ssl-cert-domain}.com
oc create route passthrough -n zen --service=ibm-nginx-svc --port=ibm-nginx-https-port \
         --hostname={cluster-name}-cpd.{ssl-cert-domain}.com
      • Recyceln Sie den Netezza Performance Server.
        oc -n $NAMESPACE scale deployment -l app=console --replicas=0
oc -n $NAMESPACE get pods -w -l app=console 
# ... wait until all console pods go away and then press Ctrl-C


oc -n $NAMESPACE set env deployment -l app=console CPD_HOST={cluster-name}-cpd.{ssl-cert-domain}.com
oc -n $NAMESPACE scale deployment -l app=console --replicas=1
oc -n $NAMESPACE get pods -w -l app=console 
# ... wait until console pods go to Running state then press Ctrl-C
  5. Folgen Sie dieser Cloud Pak for Data, um Ihre SSL-Zertifikate auf dem Cloud Pak for Data einzustellen.
    Hinweis: Wenn Sie Schritt 7 der Anleitung ausführen, stellen Sie sicher, dass Sie Ihre SSL-Zertifikate in cert.crt und den Schlüssel in cert.key umbenennen.