Налаштування власного DNS-імені для Кабінетів

1. Загальний опис

В адміністративному інтерфейсі керування Платформою та реєстрами Control Plane реалізовано можливість використання власного DNS-імені для публічних Кабінетів отримувача послуг та посадової особи.

DNS (англ. Domain Name System) система доменних імен — ієрархічна розподілена система перетворення імені будь-якого мережевого пристрою в IP-адресу.

Для налаштування власного DNS-імені для Кабінетів отримувача послуг та/або посадової особи необхідно мати зареєстроване доменне ім’я (наприклад, registry.example.com) та SSL-сертифікат для домену чи субдомену registry.example.com, або одночасно для всіх субдоменів першого рівня — *.example.com.

Інтерфейс адміністрування розділяє отриманий сертифікат на CA-сертифікат (Certificate Authority) і ключ, зберігає їх в центральному HashiCorp Vault, використовуючи KV engine, та додає отримані DNS-імена до налаштувань values.yaml у наступному форматі:

Приклад 1. Формат налаштувань customDNS для кабінетів у values.yml
global:
  customDNS:
    officerPortal: "officer.example.com"
    citizenPortal: "citizen.example.com"

2. Налаштування DNS-імен для Кабінетів

Налаштування DNS-імен доступно на етапі створення нового реєстру або при редагуванні заведеного реєстру. Розглянемо принцип налаштування на прикладі реєстру, що вже існує.

Для налаштування власного DNS-імені для Кабінетів отримувача послуг та/або посадової особи необхідно виконати наступні кроки.

2.1. Обрання реєстру та перехід до налаштувань

  1. Увійдіть до адміністративної панелі керування платформою та реєстрами Control Plane, використовуючи попередньо отримані логін та пароль.

    update cluster mgmt 01

  2. Перейдіть до розділу Реєстри та оберіть відповідний реєстр, в якому необхідно налаштувати DNS-ім’я.

    change key 01

  3. Натисніть кнопку Редагувати, що розташована у правому верхньому куті.

    change key 02

2.2. Налаштування DNS-імен для Кабінету посадової особи

Налаштуйте доменне ім’я для Кабінету посадової особи:

  1. Відкрийте секцію DNS та активуйте перемикач, щоб встановити власні значення DNS-імені.

    Функція за замовчуванням вимкнена. Після її активації та застосування змін до конфігурації реєстру, Кабінет посадової особи стане доступним за новим ім’ям.

    Щоб повернутися до налаштувань за замовчуванням і скинути встановлені значення, просто вимкніть перемикач. Після наступного застосування змін до реєстру, ви побачите стандартне значення DNS-імені для Кабінету.

    custom dns 1

  2. Вкажіть доменне ім’я для Кабінету посадової особи у форматі officer.example.com.

  3. Натисніть Browse…​ (Вибрати файл) у полі SSL-сертифікат для кабінету чиновника (розширення .pem).

    custom dns 05

  4. У відповідній директорії оберіть необхідний сертифікат (розширення .pem) і натисніть Відкрити.

    0

  5. Натисніть Підтвердити, щоб зберегти налаштування.

2.3. Налаштування DNS-імен для Кабінету отримувача послуг

Налаштуйте доменне ім’я для Кабінету отримувача послуг:

  1. Відкрийте секцію DNS та активуйте перемикач, щоб встановити власні значення DNS-імені.

    Функція за замовчуванням вимкнена. Після її активації та застосування змін до конфігурації реєстру, Кабінет посадової особи стане доступним за новим ім’ям.

    Щоб повернутися до налаштувань за замовчуванням і скинути встановлені значення, просто вимкніть перемикач. Після наступного застосування змін до реєстру, ви побачите стандартне значення DNS-імені для Кабінету.

    custom dns 1

  2. Вкажіть доменне ім’я для Кабінету отримувача послуг у форматі citizen.example.com.

  3. Натисніть Browse…​ (Вибрати файл) у полі SSL-сертифікат для кабінету громадянина (розширення .pem).

    custom dns 04

  4. У відповідній директорії оберіть необхідний сертифікат (розширення .pem) і натисніть Відкрити.

    0

  5. Натисніть Підтвердити, щоб зберегти налаштування.

2.4. Додаткова конфігурація за межами OpenShift-кластера та реєстру

Виконайте зовнішню конфігурацію за межами OpenShift-кластера та реєстру.

  1. Створіть CNAME-запис у свого постачальника DNS.

    Він має вказувати на Load Balancer прив’язаного до OpenShift роутера (HAProxy). Домен роутера OpenShift відрізняється для кожного кластера. Записи CNAME завжди повинні вказуватися на інше доменне ім’я, а не на IP-адресу.

    CNAME (Запис канонічного імені) — це тип запису ресурсу в системі доменних імен (DNS), який порівнює одне доменне ім’я (псевдонім) з іншим (канонічне ім’я).

    CNAME запис може виглядати так:

    www.example.net. CNAME www.example.com.

    Подивитись на поточні встановлені CNAME записи можна за допомогою сервісу dns.google.

    CNAME не може бути встановлений для apex-доменів (example.com), а піддомен повинен бути вказаний (www.example.com).

  2. Напишіть у Telegram-каналі [EPAM] IIT Digital Signature Library Questions, щоб додати нову адресу до тестового віджету eu.iit.com.ua.

    Кабінет посадової особи та отримувача послуг стає доступний за налаштованими DNS-іменами після додаткової (ручної) зовнішньої конфігурації адміністратором.

    Зазвичай оновлення DNS-імен відбувається впродовж однієї години, хоча глобальне оновлення може тривати до 48 годин.