自定义 Receptor CA

K8S 集群上的控制节点将通过 Receptor 运行的双向 TLS TCP 连接与执行节点通信。执行节点将通过确保 x509 证书是由可信证书颁发机构 (CA) 颁发的来验证传入连接。

用户可能希望提供自己的 CA 用于此验证。如果没有提供 CA，AWX 运算符将自动使用 OpenSSL 生成一个 CA。

在本地存储了自定义 ca.crt 和 ca.key 的情况下，请运行以下命令：

kubectl create secret tls awx-demo-receptor-ca \
   --cert=/path/to/ca.crt --key=/path/to/ca.key

秘密的名称应为 {AWX 自定义资源名称}-receptor-ca。在上面的示例中，AWX CR 名称是“awx-demo”。请将“awx-demo”替换为您的 AWX 自定义资源名称。

如果此秘密是在 AWX 部署后创建的，请运行以下命令重新启动部署：

kubectl rollout restart deployment awx-demo

警告

更改 Receptor CA 将断开与任何现有执行节点的连接。这些节点将进入 unavailable 状态，作业将无法在这些节点上运行。用户需要下载并重新运行每个执行节点的安装包。这将用由新 CA 签名的 TLS 证书文件替换 TLS 证书文件。执行节点应在几分钟后显示在 ready 状态。