配置自定义 TLS 证书

• 在系统范围内挂载内部证书颁发机构 (CA)，以启用数据库连接和 Playground 模型调用的 TLS
• 使用 Playground 专用的 TLS 设置，为支持的模型提供商提供用于 mTLS 的客户端证书/密钥

​

挂载用于 TLS 的内部 CA

1. 创建一个文件，其中包含与数据库和外部服务进行 TLS 所需的所有 CA。如果您的部署直接与 beacon.langchain.com 通信而没有代理，请务必包含一个公共受信任 CA。所有证书应在此文件中连接，中间用空行分隔。
   复制

   向 AI 提问

   -----BEGIN CERTIFICATE-----
   <PUBLIC_CA>
   -----END CERTIFICATE-----
   
   -----BEGIN CERTIFICATE-----
   <INTERNAL_CA>
   -----END CERTIFICATE-----
   
   ...
   

2. 创建一个 Kubernetes secret，其中包含此文件内容的密钥。
   复制

   向 AI 提问

   kubectl create secret generic <SECRET_NAME> --from-file=<SECRET_KEY>=<CA_BUNDLE_FILE_PATH> -n <NAMESPACE>
   

3. 如果将自定义 CA 用于与数据库和其他外部服务的 TLS，请向 LangSmith helm chart 提供以下值
   Helm

   复制

   向 AI 提问

   config:
     customCa:
       secretName: <SECRET_NAME> # The name of the secret created in step 2.
       secretKey: <SECRET_KEY> # The key in the secret containing the CA bundle.
   
   clickhouse:
     external:
       tls: true # Only enable if you want TLS for Clickhouse.
   postgres:
     external:
       customTls: true # Only enable if you want TLS for Postgres.
   

4. 请务必使用 TLS 支持的连接字符串
   • Postgres：在末尾添加 ?sslmode=verify-full&sslrootcert=system。
   • Redis：使用 rediss:// 而不是 redis:// 作为前缀。

​

为模型提供商使用自定义 TLS 证书

• LANGSMITH_PLAYGROUND_TLS_MODEL_PROVIDERS：需要自定义 TLS 证书的模型提供商的逗号分隔列表。请注意，目前仅支持 azure_openai、openai 和 custom，但将来会支持更多提供商。
• [可选] LANGSMITH_PLAYGROUND_TLS_KEY：PEM 格式的私钥。这必须是文件路径（用于挂载卷）。这通常仅在相互 TLS 身份验证时才需要。
• [可选] LANGSMITH_PLAYGROUND_TLS_CERT：PEM 格式的证书。这必须是文件路径（用于挂载卷）。这通常仅在相互 TLS 身份验证时才需要。
• [可选] LANGSMITH_PLAYGROUND_TLS_CA：PEM 格式的自定义证书颁发机构 (CA) 证书。这必须是文件路径（用于挂载卷）。仅当您使用的 helm 版本低于 0.11.9 时才使用此方法挂载 CA；否则，请使用上面挂载用于 TLS 的内部 CA 部分。