使用CA证书从平台连接到内部服务器

重要提示:4.8IBM Cloud Pak® for Data 版本将于2025年7月31日达到支持终止(EOS)。 有关更多信息,请参阅 4.X 版本 IBM Cloud Pak for Data 的服务终止公告

升级至 IBM Software Hub 版本 5.1 ,在 4.8 版本达到支持 IBM Cloud Pak for Data 终止前完成升级。 有关更多信息,请参阅IBM Cloud Pak for Data 版本 4.8 升级到 IBM 的说明: Software Hub 版本 5.1。

若要使 IBM Cloud Pak for Data 平台能够使用贵公司的CA证书来验证来自内部服务器的证书,您必须创建一个包含该CA证书的密钥。 此外,若您的内部服务器使用由公司CA证书签名的SSL证书,则必须创建此密钥以使平台能够连接至这些服务器。

创建密钥后,CA证书将用于以下连接:
  • 平台连接
  • 项目中创建的连接
  • 在目录中创建的连接
  • 创建于 Watson Query
  • 创建于 Db2® Big SQL
  • 连接到外部实例的 IBM® OpenPages® AI Factsheets
  • 创建于 Analytics Engine powered by Apache Spark

开始之前

最佳实践: 若为您的安装设置环境变量,则可直接按本任务中命令的原样运行其中多数命令。 有关说明,请参阅设置安装环境变量

请确保在本任务中执行命令之前已设置环境变量。

必需的许可权
要完成此任务,您必须具有下列其中一个角色:
  • 集群管理员
  • 实例管理员

要完成此任务,您必须拥有自己的PEM格式证书文件。

过程

要向平台添加CA证书:

  1. 将PEM文件放置在您的本地文件系统中。
  2. 切换到这些文件所在目录。
  3. 请以具备足够权限的用户身份 Red Hat® OpenShift® Container Platform 登录,以完成该任务。
    oc login ${OCP_URL}
  4. 将上下文设置为项目部署 Cloud Pak for Data 所在的位置:
    oc project ${PROJECT_CPD_INST_OPERANDS}
  5. 创建名为 的 connection-ca-certs 密钥来存储CA证书。
    重要提示: 该密钥必须命名为 connection-ca-certs. 若使用不同名称,平台将无法定位该密钥。
    oc create secret generic connection-ca-certs \
--from-file=<my-cert>.pem=./<my-cert>.crt

    如果您拥有多个CA证书,可以添加多个 --from-file 条目。 例如:

    oc create secret generic connection-ca-certs \
--from-file=<my-cert>.pem=./<my-cert>.crt \
--from-file=<my-cert2>.pem=./<my-cert2>.crt

    等待命令返回消息称该私钥已创建:

    secret/connection-ca-certs created
  6. 如果以下 Pod 在您的集群上运行,请重启它们以便它们能够使用该 connection-ca-certs 密钥:
    wdp-connect pods
    运行以下命令以重启项目中的所有 wdp-connect Pod:
    for i in `oc get pods | grep wdp-connect- | cut -f1 -d\ `; do oc delete po ${i}; done

    如果项目中存在任何 wdp-connect pod,该命令应返回以下格式的输出:

    pod "wdp-connect-connector-6f968c97ff-4lcxc" deleted
pod "wdp-connect-connection-77879f485d-f7cfl" deleted
pod "wdp-connect-flight-6b75df645b-ts4rg" deleted
    wkc-factsheet-service pods
    运行以下命令以重启项目中的所有 wkc-factsheet-service Pod:
    for i in `oc get pods | grep wkc-factsheet-service | cut -f1 -d\ `; do oc delete po ${i}; done

    如果项目中存在任何 wkc-factsheet-service pod,该命令应返回以下格式的输出:

    pod "wkc-factsheet-service-5f6685bcbb-g8dx7" deleted
    spark-hb-create-trust-store pods
    运行以下命令以重启项目中的所有 spark-hb-create-trust-store Pod:
    for i in `oc get pods | grep spark-hb-create-trust-store | cut -f1 -d\ `; do oc delete po ${i}; done

    如果项目中存在任何 spark-hb-create-trust-store pod,该命令应返回以下格式的输出:

    pod "spark-hb-create-trust-store-58fc95f9cf-946m8" deleted