Подключение RabbitMQ в Kubernetes
Проверьте совместимость версии БД
Перед началом работы убедитесь, что версия внешней базы данных RabbitMQ совпадает с версией, указанной в .Values.rabbitmq.image.tag.
- Если система Test IT запущена, остановите все поды с помощью команды.
- В файле
values-override.yamlустановите переменные среды в с параметрами внешней базы данных RabbitMQ:general: config: RABBITMQ_DEFAULT_USER: "testit" RABBITMQ_DEFAULT_PASS: "password" RABBITMQ_DEFAULT_VHOST: "testitrabbit" RABBITMQ_DEFAULT_HOST: "external-server" # IP or DNS of outside RabbitMQ server RABBITMQ_DEFAULT_PORT: "5672" RABBITMQ_AUTH_MODE: "plain" RABBITMQ_CLIENT_CERT_PATH: "/etc/rabbitmq/ssl/client/testit.pfx" RABBITMQ_CLIENT_CERT_PASSPHRASE: RABBITMQ_SSL_ENABLED: "false" - В файле
values-override.yamlотключите контроллер statefulSet для внутренней базы данных RabbitMQ:rabbitmq: enabled: false - Примените изменения с помощью команды:
cd <installation_folder> helm -n <namespace> -f testit_unichart/values-override.yaml upgrade --install testit testit_unichart/ --wait --timeout 10m
Настройка SSL для внешних подключений
Важно
- Убедитесь, что конфигурация-SSL во внешних сервисах настроена на проверку только файла CA.crt.
- Если для внешних сервисов используются другие файлы CA.crt, убедитесь, что все они добавлены в связку. Добавьте файл ca-bundle-*.crt в директорию
testit_unichart/files/ssl/:# Номер файла задан для примера, можно использовать и другое наименование, например ca-bundle-rabbitmq.crt # Главное, чтобы нужные путь/название файла указывались в шаге 3 следующей секции testit_unichart/files/ssl/ca-bundle-2.crt - Прежде чем применять изменения, описанные в данной инструкции, убедитесь, что настроены внешние подключения к соответствующим сервисам.
- Создайте SSL-сертификаты, используя доменное имя (CN) вашего сервера RabbitMQ и файл CA.crt:
- rabbitmq_key.pem
- rabbitmq_cert.pem
- rabbitmq_ca.pem
- Перенесите сертификаты в соответствующую папку на вашем сервере RabbitMQ. Например,
/etc/certs. - Создайте конфигурационный файл
.conf. Например,20-ssl.conf:listeners.ssl.default = 5671 ssl_options.cacertfile = /etc/certs/rabbitmq_ca.pem ssl_options.certfile = /etc/certs/rabbitmq_cert.pem ssl_options.keyfile = /etc/certs/rabbitmq_key.pem ssl_options.verify = verify_none ssl_options.fail_if_no_peer_cert = false - Перенесите созданный файл в в соответствующую папку на вашем сервере RabbitMQ. Например,
/etc/rabbitmq/conf.d. - Добавьте в секцию
general.configFileфайлаvalues-override.yamlилиvalues-ssl.yamlпуть до нового CA.crt:# testit_unichart/values-ssl.yaml или testit_unichart/values-override.yaml general: config: RABBITMQ_DEFAULT_USER: "testit" RABBITMQ_DEFAULT_PASS: "password" RABBITMQ_DEFAULT_VHOST: "testitrabbit" RABBITMQ_DEFAULT_HOST: "external-server" # IP or DNS of outside RabbitMQ server RABBITMQ_DEFAULT_PORT: "5672" RABBITMQ_AUTH_MODE: "plain" RABBITMQ_CLIENT_CERT_PATH: "/etc/rabbitmq/ssl/client/testit.pfx" RABBITMQ_CLIENT_CERT_PASSPHRASE: RABBITMQ_SSL_ENABLED: "false" APPLICATION__SECURITY__TRUSTEDCERTIFICATELOCATION: "/app/certs" volumes: ## Use to enable custom certificates ssl-ca-bundle-1: fromConfigMap: ssl-ca-bundle-1 mounts: mountPath: /app/certs/ca-bundle-1.crt subPath: ca-bundle-1.crt # Mount new file ssl-ca-bundle-2: fromConfigMap: ssl-ca-bundle-2 mounts: mountPath: /app/certs/ca-bundle-2.crt subPath: ca-bundle-2.crt configFile: ## Use to enable custom certificates # Already have been there (hypothetically) ssl-ca-bundle-1: ca-bundle-1.crt: "files/ssl/ca-bundle-1.crt" # New file ssl-ca-bundle-2: ca-bundle-2.crt: "files/ssl/ca-bundle-2.crt" - Примените изменения с помощью команды:
cd <installation_folder> # В зависимости от того, какие файлы (values-override.yaml или values-ssl.yaml) используется, прокидывайте в команду соответствующий файл через флаг -f helm -n <namespace> -f testit_unichart/values-override.yaml -f testit_unichart/values-ssl.yaml upgrade --install testit testit_unichart/ --wait --timeout 10m