Documentazione dell'infrastruttura Oracle Cloud

Accesso alle interfacce esterne di Private Cloud Appliance con la propria catena di fiducia CA

Per accedere alle interfacce esterne di Private Cloud Appliance, puoi fornire i tuoi certificati CA (Certificate Authority) personalizzati e includerli nella tua catena di affidabilità CA.

Per accedere a tutte le interfacce esterne di un'appliance cloud privata sono necessari tre certificati CA diversi.

  • Accessibile agli amministratori

    • admin.<domain_name>

    • adminconsole.<domain_name>

    • alertmanager.<domain_name>

    • API.<domain_name>

    • grafana.<domain_name>

    • prometheus.<domain_name>

    • prometheus-gw.<domain_name>

    • rps.<domain_name>

  • Uplink regolare

    • autorizzazione.<domain_name>

    • ridimensionamento automatico.<domain_name>

    • provider di backup.<domain_name>

    • container di computazione.<domain_name>

    • console.<domain_name>

    • motore contenitore.<domain_name>

    • dns.<domain_name>

    • file.<domain_name>

    • iaas.<domain_name>

    • identità.<domain_name>

    • limiti.<domain_name>

    • network-load-balancer-api.<domain_name>

    • regionregistry.<domain_name>

    • regionrepository.<domain_name>

  • Storage degli oggetti

    • objectstorage.<domain_name>
Importante

Quando un nuovo endpoint di servizio viene aggiunto a Private Cloud Appliance come parte di un upgrade software del controller, è necessario aggiornare il certificato CA "Uplink regolare". Ripetere il processo descritto in questo argomento per caricare un nuovo certificato CA.

Se è necessario annullare il certificato CA e ripristinare un certificato fornito da Oracle, contattare Oracle per assistenza.

Il processo per impostare la propria catena di attendibilità CA è il seguente:

  1. Crea richieste di firma dei certificati (CSR) da Private Cloud Appliance.

  2. Con questi CSR, generare i certificati firmati dall'autorità di certificazione.

  3. Caricare i certificati CA firmati e la catena di attendibilità CA nell'appliance cloud privata.

Creazione di richieste di firma certificato

Generare richieste di firma certificato (CSR, Certificate Signing Request) utilizzando l'interfaccia CLI del servizio.

Nota

i client OpenSSH devono avere almeno la versione openssh-clients-7.4p1 o successiva.

  1. Eseguire il login all'interfaccia CLI del servizio.

  2. Eseguire il comando generateCustomerCsr.

    PCA-ADMIN> generateCustomerCsr
Data: 
 status = success
 message = Successfully generated customer csr: 
    Please download all CSR files from: /nfs/shared_storage/certs/customer_csr/

  3. Se necessario, è possibile aggiungere nomi distinti al comando generateCustomerCsr.

    PCA-ADMIN> generatecustomerCsr country=IN state=KA locality=blr \
  organization=example organizationunit=adminexample,pca email=test@example.com
Data: 
  status = success 
  message = Successfully generated customer csr: 
     Please download all CSR files from: /nfs/shared_storage/certs/customer_csr/

    I nomi distinti consentiti includono paese, stato, località, unità organizzativa ed e-mail.

  4. Eseguire il login a un nodo di gestione e andare alla directory di memorizzazione condivisa come indicato nell'output del comando. Scarica i CSR.

    • external_tls_term.csr.pem

    • external_admin_tls_term.csr.pem

    • zfssa.csr.pem

  5. In base a questi CSR, creare certificati firmati dalla CA.

    Importante

    Quando si generano i certificati, è necessario aggiungere gli FDQN (e nessun indirizzo IP) dalle informazioni SAN negli CSR.

Note DNS

Se si forniscono certificati esterni per stabilire una catena di attendibilità CA, è necessario aggiungere record PTR al DNS del centro dati. Un record PTR (Pointer) in DNS mappa un indirizzo IP a un nome host. Questo comportamento è il contrario della solita ricerca di indirizzi IP per un nome host fornito, che è fornito da un record A in DNS.

È necessario creare zone di ricerca ReverseIp per i due ReplicationIps utilizzati nel disaster recovery. Le richieste DNS vengono inoltrate a Private Cloud Appliance nello stesso modo in cui vengono inoltrate le richieste per la zona di servizio Private Cloud Appliance. Se è definito solo il valore zfsCapacityPoolReplicationEndpoint, è necessario solo un record PTR per tale indirizzo IP.

Per creare una ricerca ReverseIp è necessario creare una zona DNS per la ricerca ReverseIp. È possibile creare una o più zone di ricerca inversa a seconda della configurazione degli IP di replica. Come creare questi record PTR dipende dall'interfaccia per i server DNS del centro dati.

Se ad esempio il dominio rack è myprivatecloud.example.com e gli IP dei pool di storage per la capacità e le prestazioni sono 10.170.123.98 e 10.170.123.99, Private Cloud Appliance richiede due zone con i mapping seguenti:

98.123.170.10.in-addr.arpa rtype PTR rdata sn01-dr1.myprivatecloud.example.com
99.123.170.10.in-addr.arpa rtype PTR rdata sn02-dr1.myprivatecloud.example.com

Per ulteriori informazioni, vedere gli argomenti di networking indicati di seguito.

È possibile procedere al processo di caricamento.

Caricamento di certificati CA personalizzati

Per completare l'impostazione, è necessario caricare i nuovi certificati CA firmati insieme alla catena di attendibilità CA nell'appliance cloud privata.

Utilizzare il comando uploadCustomerCerts per caricare i certificati CA. Questo comando utilizza i parametri seguenti per fornire i percorsi completi dei certificati e della catena di attendibilità CA:

  • caTrustChain

  • externalAdminCert

  • externalCert

  • zfsCert

  1. Eseguire il login all'interfaccia CLI del servizio.

  2. Copiare i certificati CA e la catena di attendibilità CA nella directory /nfs/shared_storage nel nodo di gestione.

  3. Eseguire il comando uploadCustomerCerts per caricare tutti i certificati CA. Ad esempio:

    PCA-ADMIN> uploadCustomerCerts externalcert=/nfs/shared_storage/external_tls_term.cert \
zfsCert=/nfs/shared_storage/certs/zfssa.cert caTrustChain=/nfs/shared_storage/CAPrivate.pem
Data: 
 status = success
 message = Successfully uploaded customer CERTS
    Importante

    Caricare la catena di attendibilità CA con uno dei comandi di caricamento del certificato CA utilizzando il parametro caTrustChain.

    Se per Private Cloud Appliance è abilitata la funzione di networking di amministrazione, il comando uploadCustomerCerts richiede il parametro externalAdminCert aggiuntivo. Ad esempio:

    PCA-ADMIN> uploadCustomerCerts externalcert=/nfs/shared_storage/external_tls_term.cert \
zfsCert=/nfs/shared_storage/certs/zfssa.cert caTrustChain=/nfs/shared_storage/CAPrivate.pem \
externalAdminCert=/nfs/shared__storage/external_admin_tls_term.cert
Data: 
 status = success
 message = Successfully uploaded customer CERTS