Impostazione dei certificati SSL su AWS

Netezza Performance Server per Cloud Pak for Data

Scoprite come impostare i vostri certificati SSL per Netezza Performance Server su AWS.

Prima di iniziare

Assicuratevi di avere i seguenti certificati e articoli:
  • Il certificato SSL del dominio/server

    Assicurarsi che sia nel formato " .crt. È inoltre necessario rinominarlo in 'tls.crt.

  • La chiave del server.

    È necessario rinominarlo in 'tls.key.

  • Il certificato della CA o certificato radice.
  • È necessario rinominarlo in 'ca.crt.
  • Lo spazio dei nomi.
Nota: Il certificato/chiave deve essere in formato PEM, ma deve essere denominato come specificato.

Procedura

  1. Accedere al cluster Red Hat OpenShift.
    È possibile accedere al cluster Red Hat OpenShift dalla riga di comando eseguendo il seguente comando.
    oc login https://api.<CLUSTER_NAME>.<ROUTE53_DNS>:6443 --insecure-skip-tls-verify -u kubeadmin -p <password>
    Lo script di installazione scrive i dati di accesso al cluster Red Hat OpenShift in '<installation_script_execution_directory>/envs/<CLUSTER_NAME>/assets/oc_login_details. Red Hat OpenShift crea un utente predefinito 'kubeadmin con il ruolo 'cluster-admin durante l'installazione. La password del cluster viene salvata nel file '<installation_script_execution_directory>/envs/<CLUSTER_NAME>/assets/auth/kubeadmin-password.
  2. Eliminare l'oggetto risorsa personalizzato del certificato autofirmato esistente dallo spazio dei nomi 'ibm-nz-cyclops-private, se si utilizza un endpoint privato. Altrimenti, utilizzare lo spazio dei nomi 'ibm-nz-cyclops.
    oc delete  certificate  ibm-nz-cyclops-private-cert -n ibm-nz-cyclops-private
  3. Sostituire i segreti esistenti costituiti da certificati autofirmati con certificati personalizzati eseguendo il seguente comando.
    oc delete secret ips-ssl-certs -n ibm-nz-cyclops-private
oc -n ibm-nz-cyclops-private create secret generic ips-ssl-certs --from-file=ca.crt --from-file=tls.crt --from-file=tls.key
  4. Riavvia tutti i pod della console Cyclops. Il numero di repliche deve essere impostato a 3.
    oc scale deployment <deployment-name> --replicas=0
oc scale deployment <deployment-name> --replicas=<number of replicas>
  5. Verificare se il certificato SSL corrisponde a 'host name e 'domain name specificati durante l'installazione di 'Netezza Performance Server.
    È possibile verificare il certificato SLL nella directory di installazione in cui è stato eseguito il comando 'nz-cloud.
    # eg On the system that nz-cloud was run from, in the install directory
cat envs/lontest2/assets/cp4d_login_details
cp4d_USERNAME=admin
cp4d_PASSWORD=......
cp4d_CONSOLE_URL=https://zen-cpd-zen.apps.{cluster-name}.ibmnzcloud.com    #

    Se il certificato SSL utilizza il dominio del cluster, passare al punto 4.

    Se il certificato SSL è valido per '*.{ssl-cert-domain}.com, ma il cluster è stato installato come '*.{cluster-name}.foobar.com, eseguire i seguenti passaggi secondari.

    Nelle voci DNS del cloud provider, aggiungere i seguenti alias 'CNAME.

    1. {cluser-name}-cpd.{ssl-cert-domain}.com

      Questo alias è per l'indirizzo URL della console web Cloud Pak for Data.

      Assicurarsi che il 'CNAME punti al 'zen-cpd-zen.apps.{cluster-name}.ibmnzcloud.com.
    2. {cluser-name}-console.{ssl-cert-domain}.com

      Questo alias è per il sito URL della console web Netezza Performance Server della console web.

      Assicurarsi che 'CNAME punti alla console web.
      oc -n $NAMESPACE get svc console | awk '{print $4}'

      Dove $NAMESPACE può essere 'ibm-nz-cyclops o 'ibm-nz-cyclops-private, a seconda del tipo di endpoint scelto.

      Esempio:
      oc -n ibm-nz-cyclops-private get svc | awk '{print $4}'
    3. {cluster-name}-nps.{ssl-cert-domain}.com

      Questo alias è per il database Netezza Performance Server stesso.

      Assicurarsi che 'CNAME punti al servizio Netezza Performance Server.
      oc -n $NAMESPACE get svc ipshost-external | awk '{print $4}'
    4. Configurare le rotte di Red Hat OpenShift in modo che riflettano e utilizzino questi alias.
      oc create route passthrough --service=console --port=443 -n $NAMESPACE \
         --hostname={cluster-name}-console.{ssl-cert-domain}.com
oc create route passthrough -n zen --service=ibm-nginx-svc --port=ibm-nginx-https-port \
         --hostname={cluster-name}-cpd.{ssl-cert-domain}.com
    5. Riavviare tutti i pod della console Cyclops. Il numero di repliche deve essere impostato su 3.
      oc scale deployment <deployment-name> --replicas=0
oc scale deployment <deployment-name> --replicas=<number of replicas>
  6. Seguire questa guida di Cloud Pak for Data per impostare i certificati SSL sul portale Cloud Pak for Data.
    Nota: quando si esegue il passaggio 7 della guida, assicurarsi di rinominare i certificati SSL in 'cert.crt e la chiave in 'cert.key.