公有云配置WebSocket TLS证书

该文档适用于用户对接公有云时为WebSocket配置TLS证书

添加WebSocket证书

申请域名

通过阿里云等机构申请域名,并在公网DNS服务器将域名解析到集群对外开放6060端口的IP

获取并安装证书

从证书签发机构获取证书后,创建wsssecert.yaml文件,通过kubernetes创建证书文件资源

  1. #使用base64加密证书文件
  2. cat 公钥证书.pem | base64 > 公钥证书base64.txt
  3. cat 私钥证书.pem | base64 > 私钥证书base64.txt
  5. #创建wsssecert.yaml文件
  6. vim wsssecert.yaml
  8. apiVersion: v1
  9. data:
  10.   websocket域名.crt: #将公钥证书base64.txt内容填写到此处
  11.   websocket域名.key: #将私钥证书base64.txt内容填写到此处
  12. kind: Secret
  13. metadata:
  14.   labels:
  15.     belongTo: rainbond-operator
  16.     creator: Rainbond
  17.   name: rbd-api-ws-cert
  18.   namespace: rbd-system
  1. kubectl apply -f wsssecert.yaml -n rbd-system

修改rbd-api参数

  1. kubectl edit deployment rbd-api -n rbd-system
  3. ···
  4. spec:
  5.       containers:
  6.       - args:
  7.         - --api-addr=0.0.0.0:8888
  8.         - --enable-feature=privileged
  9.         - --log-level=info
  10.         - --mysql=region:goodrain123465!@tcp(rm-uf6wi9113s7kz2453.mysql.rds.aliyuncs.com:3306)/region
  11.         - --etcd=http://rbd-etcd:2379
  12.         - --api-ssl-enable=true
  13.         - --builder-api=rbd-chaos:3228
  14.         - --api-addr-ssl=0.0.0.0:8443
  15.         - --api-ssl-certfile=/etc/goodrain/region.goodrain.me/ssl/server.pem
  16.         - --api-ssl-keyfile=/etc/goodrain/region.goodrain.me/ssl/server.key.pem
  17.         - --client-ca-file=/etc/goodrain/region.goodrain.me/ssl/ca.pem
  18.         #追加以下参数
  19.         - --ws-ssl-enable=true
  20.         - --ws-ssl-certfile=/websocketsslPath/websocket域名.crt #证书文件路径,websocketsslPath由下文region-ws-ssl挂载路径加websocket域名.crt拼接而成
  21.         - --ws-ssl-keyfile=/websocketsslPath/websocket域名.key #证书文件路径,websocketsslPath由下文region-ws-ssl挂载路径加websocket域名.key拼接而成
  22.  ···
  23.  ···
  24.  ···
  25.   volumeMounts:
  26.         - mountPath: /grdata
  27.           name: grdata
  28.         - mountPath: /logs
  29.           name: accesslog
  30.         - mountPath: /etc/goodrain/region.goodrain.me/ssl/
  31.           name: region-api-ssl
  32.           #追加以下挂载
  33.         - mountPath: /websocketsslPath #自定义挂载路径,ws-ssl-certfile及ws-ssl-keyfile需要用到此路径
  34.           name: region-ws-ssl
  35.  ···
  36.  ···
  37.  ···
  38.  volumes:
  39.       - name: grdata
  40.         persistentVolumeClaim:
  41.           claimName: rbd-cpt-grdata
  42.       - name: accesslog
  43.         persistentVolumeClaim:
  44.           claimName: rbd-api
  45.       - name: region-api-ssl
  46.         secret:
  47.           defaultMode: 420
  48.           secretName: rbd-api-server-cert
  49.           #追加以下secret资源
  50.       - name: region-ws-ssl
  51.         secret:
  52.           defaultMode: 420
  53.           secretName: rbd-api-ws-cert

修改集群配置

通过 企业视图 >> 集群 >> 编辑,修改对应集群的websocket设置

公有云配置WebSocket TLS证书 - 图1