Sichere Routen bieten die Möglichkeit, verschiedene Typen der TLS-Terminierung zu verwenden, um Zertifikate für den Client bereitzustellen. Um eine sichere Route zum Presto in " watsonx.data™ freizugeben, verwenden Sie die Route " reencrypt.
Achtung! Verwenden Sie dieses Verfahren, um eine sichere Route zum Presto für "
watsonx.data v1.0.0 oder v1.0.1 zu erstellen.
Für " watsonx.data v1.0.2 werden automatisch Routen für jede Presto erstellt, die bereitgestellt wird.
Hinweis: Routen dürfen nur zugänglich gemacht werden, wenn Sie von außerhalb des OpenShift® -Clusters auf die Presto -Engine zugreifen müssen. Außerdem müssen Routen für jede neue Presto -Engine zugänglich gemacht werden, die bereitgestellt wird, wenn ein Client außerhalb des OCP-Clusters eine Verbindung herstellen muss.
Informationen zu dieser Task
Führen Sie die folgenden Schritte aus, um eine sichere Route zum Presto in " watsonx.data zu erstellen
Vorgehensweise
- Melden Sie sich beim OpenShift -Container an.
Verwenden Sie eine der folgenden Methoden, um eine Sitzung mit Ihrem OpenShift -Server aufzubauen.
- Führen Sie den folgenden Befehl aus, um sich mit einem Benutzernamen und einem Kennwort am Cluster anzumelden:
oc login \
--user=${OCP_USERNAME} \
--password=${OCP_PASSWORD} \
--server=${OCP_URL}
- Führen Sie den folgenden Befehl aus, um sich mit einem Token am Cluster anzumelden:
oc login \
--server=${OCP_URL} \
--token=${OCP_TOKEN}
- Konfigurieren Sie die Umgebungsvariable
PROJECT_CPD_INST_OPERANDS , die auf den Namensbereich verweist, in dem watsonx.data installiert ist.
export PROJECT_CPD_INST_OPERANDS=<wxd_namespace>
- Extrahieren Sie die selbst signierten TLS-Zertifikate.
oc extract secret/ibm-lh-tls-secret --keys=tls.crt -n ${PROJECT_CPD_INST_OPERANDS}
Das selbst signierte Zertifikat wird in
tls.crtextrahiert.
- Identifizieren Sie die Engine und den Servicenamen, die Sie zugänglich machen möchten:
oc get wxdengine -n ${PROJECT_CPD_INST_OPERANDS} -o custom-columns='CR-NAME:metadata.name,ENGINE:spec.engineDisplayName,SERVICE:spec.engineUri' | sed 's/.'${PROJECT_CPD_INST_OPERANDS}'.svc.cluster.local//'
Beispiel:
Wenn Sie zwei Engines für den Presto erstellt haben:
# oc get wxdengine -n ${PROJECT_CPD_INST_OPERANDS} -o custom-columns='CR-NAME:metadata.name,ENGINE:spec.engineDisplayName,SERVICE:spec.engineUri' | sed 's/.'${PROJECT_CPD_INST_OPERANDS}'.svc.cluster.local//'
CR-NAME ENGINE SERVICE
lakehouse-presto-01 presto-01 ibm-lh-lakehouse-presto-01-presto-svc
lakehouse-presto314 jsizto-01 ibm-lh-lakehouse-presto314-presto-svc
- Definieren Sie die Umgebungsvariable
ENGINE_SVC_TO_EXPOSE , die auf den Namen SERVICE der Engine-Route verweist, die Sie zugänglich machen möchten.export ENGINE_SVC_TO_EXPOSE=<SERVICE>
Beispiel:
Wenn Sie die sichere Route für den Motor " presto-01 freigeben möchten, setzen Sie diesen Dienst ein:
# export ENGINE_SVC_TO_EXPOSE=ibm-lh-lakehouse-presto-01-presto-svc
- Erstellen Sie eine Route für die erneute Verschlüsselung, um die Engine zugänglich zu machen.
oc create route reencrypt \
--service=${ENGINE_SVC_TO_EXPOSE} \
--dest-ca-cert=tls.crt \
--port 8443 -n ${PROJECT_CPD_INST_OPERANDS}
- Überprüfen Sie die neue Route und zeichnen Sie sie auf.
oc get route -n ${PROJECT_CPD_INST_OPERANDS} ${ENGINE_SVC_TO_EXPOSE}
Die sichere Route befindet sich in der Spalte HOST/PORT.
Beispiel:
In diesem Beispiel lautet der Name der sicheren Route wie folgt:
ibm-lh-lakehouse-presto-01-presto-svc-cpd-instance.apps.example.cp.fyre.ibm.com# oc get route -n ${PROJECT_CPD_INST_OPERANDS} ${ENGINE_SVC_TO_EXPOSE}
NAME HOST/PORT PATH SERVICES PORT TERMINATION WILDCARD
ibm-lh-lakehouse-presto-01-presto-svc ibm-lh-lakehouse-presto-01-presto-svc-cpd-instance.apps.example.cp.fyre.ibm.com ibm-lh-lakehouse-presto-01-presto-svc 8443 reencrypt None
- Um eine Verbindung mit dem exponierten Presto herzustellen, verwenden Sie den Namen der exponierten sicheren Route als Hostname und den Port 443 als Portnummer für diese Route.