Управление SSL в ET

Константин Алпашкин

Действие Manage SSL позволяет управлять SSL-шифрованием сервисов в ET-кластере (Docker Registry, HTTP Mirror, Grafana).

Особенности использования SSL в ET-кластере:

  • Несмотря на то что у некоторых ET-сервисов есть собственные настройки HTTPS (блок настроек HTTPS listener), настоятельно рекомендуется использовать кластерное действие Manage SSL, а не настраивать сервисы по отдельности.

  • SSL-сертификаты должны быть доверенными для хостов ET-кластера.

  • Не стоит обновлять ET-кластер с включенным SSL. SSL необходимо отключить перед обновлением.

Процесс выполнения действия и его результаты доступны на странице Jobs. При выполнении действия Manage SSL ADCM реконфигурирует и перезапускает необходимые сервисы, поэтому перезапуск ET-кластера после действия не требуется.

Включение SSL

Чтобы включить SSL в ET-кластере:

  1. Перейдите на страницу Clusters, нажмите actions default light actions default dark и выберите действие из появившегося списка.

    Выполнение действия Manage SSL
    Выполнение действия "Manage SSL"

  2. Активируйте блок настроек Enable SSL и укажите параметры SSL.

    Параметры SSL
    Параметры SSL

  3. Нажмите Next, а затем Run, чтобы запустить действие.

Параметры действия Manage SSL

При выполнении действия Manage SSL ADCM отображает диалоговое окно, в котором можно указать следующие параметры SSL.

Параметр Описание Значение по умолчанию

Server certificate

Сертификат SSL в PEM-формате. SSL-сертификаты должны быть доверенными для хостов ET-кластера

 — 

Server private key

Приватный ключ в PEM-формате

 — 

Registry Host(optional)

Заполняется автоматически IP-адресом, на котором доступен веб-интерфейс сервиса Docker Registry. Можно установить вручную для кастомной конфигурации

<et-host-ip>

Registry HTTPS port

Порт HTTPS для сервиса Docker Registry

443

Registry TLS Min Version

Минимальная версия TLS для сервиса Docker Registry

tls1.2

HTTP Mirror Host(optional)

Заполняется автоматически IP-адресом, на котором доступен веб-интерфейс сервиса HTTP Mirror. Можно установить вручную для кастомной конфигурации

 — 

HTTP Mirror HTTPS port

Порт HTTPS для сервиса HTTP Mirror

8443

HTTP Mirror TLS Version

Версия TLS, допустимая для компонента HTTP Mirror

TLSv1.2 TLSv1.3

Grafana Host(optional)

Заполняется автоматически IP-адресом, на котором доступен веб-интерфейс сервиса Grafana. Можно установить вручную для кастомной конфигурации

 — 

Grafana HTTPS port

Порт HTTPS для сервиса Grafana

3003

Grafana TLS Versions

Версия TLS, допустимая для сервиса Grafana

TLSv1.2 TLSv1.3

Отключение SSL в ET

Чтобы отключить SSL в ET-кластере, выполните действие Manage SSL с отключенной группой настроек Enable SSL.

Нашли ошибку? Выделите текст и нажмите Ctrl+Enter чтобы сообщить о ней