小时后过期的证书，然后在过期时进 行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复 过期的证书。一个例外情况是，您需要手动批准待处理的 node-bootstrapper 证 书签名请求（CSR）来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书中恢复的文档。 建议您在生成 12 小时后使用 Ignition 配置文件，因为集群安装后 24 需要在安装过程中存在管理员级别的凭证。在安装过程中使用管理员级别的凭证来模拟授予某些 权限的其他凭证。原始凭证 secret 不会永久存储在集群中。 注意 注意 在非 z-stream 升级前，您必须使用管理员级别的凭证重新恢复凭证 secret。如果没有凭 证，则可能无法进行升级。 其他 其他资 资源 源 要了解如何在安装 OpenShift Container Platform 后轮转或删除管理员级别的凭证 secret，请参 是否有其所需的权限。因此，除非需要更改内容，否则不需要管理员一级的凭证。删除关联的凭证后，如 果需要可从底层云中删除或取消激活它。 注意 注意 在非 z-stream 升级前，您必须使用管理员级别的凭证重新恢复凭证 secret。如果没有凭 证，则可能无法进行升级。 管理员级别的凭证不会永久存储在集群中。 按照以下步骤，在短时间内仍然需要集群中的管理员级别的凭证。它还需要手动使用每次升级的管理员级 别的凭证重新启用

小时后过期的证书，然后在过期时进 行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复 过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签 名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。 建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在 SSH 为您的本地用户管理私钥身份。 如果要通过 SSH 连接到集群节点来执行安装调试或灾难恢复，则必须在安装过程中提供 SSH 公 钥。./openshift-install gather 命令还需要在集群节点上设置 SSH 公钥。 重要 重要 不要在生产环境中跳过这个过程，在生产环境中需要灾难恢复和调试。 注意 注意 您必须使用本地密钥，而不是使用特定平台方法配置 的密钥，如 AWS powervs 目录，以避免重复使用过时的配置。运行以下命令: b. 在提示符处，提供云的配置详情： i. 可选： 选择用于访问集群机器的 SSH 密钥。 注意 注意 对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。 ii. 选择 alibabacloud 作为目标平台。 iii

小时后过期的证书，然后在过期时进 行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复 过期的证书。一个例外情况是，您需要手动批准待处理的 node-bootstrapper 证 书签名请求（CSR）来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书中恢复的文档。 建议您在生成 12 小时后使用 Ignition 配置文件，因为集群安装后 24 需要在安装过程中存在管理员级别的凭证。在安装过程中使用管理员级别的凭证来模拟授予某些 权限的其他凭证。原始凭证 secret 不会永久存储在集群中。 注意 注意 在非 z-stream 升级前，您必须使用管理员级别的凭证重新恢复凭证 secret。如果没有凭 证，则可能无法进行升级。 其他 其他资 资源 源 要了解如何使用 CCO 实用程序（ccoctl）将 CCO 配置为使用 AWS STS，请参阅使用 STS 的手 io/upgradeable-to: ... 第 第 4 章 章 在 在 AWS 上安装 上安装 53 注意 注意 在非 z-stream 升级前，您必须使用管理员级别的凭证重新恢复凭证 secret。如果没有凭 证，则可能无法进行升级。 管理员级别的凭证不会永久存储在集群中。 按照以下步骤，在短时间内仍然需要集群中的管理员级别的凭证。它还需要手动使用每次升级的管理员级 别的凭证重新启用

小时后过期的证书，然后在过期时进 行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复 过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签 名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。 建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在 SSH 为您的本地用户管理私钥身份。 如果要通过 SSH 连接到集群节点来执行安装调试或灾难恢复，则必须在安装过程中提供 SSH 公 钥。./openshift-install gather 命令还需要在集群节点上设置 SSH 公钥。 重要 重要 不要在生产环境中跳过这个过程，在生产环境中需要灾难恢复和调试。 注意 注意 您必须使用本地密钥，而不是使用特定平台方法配置 的密钥，如 AWS Container Platform 版本中复制安装文件时 请小心。 b. 在提示符处，提供云的配置详情： i. 可选： 选择用于访问集群机器的 SSH 密钥。 注意 注意 对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。 ii. 选择 alibabacloud 作为目标平台。 iii

小时后过期的证书，然后在过期时进 行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复 过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签 名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。 建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在 SSH 为您的本地用户管理私钥身份。 如果要通过 SSH 连接到集群节点来执行安装调试或灾难恢复，则必须在安装过程中提供 SSH 公 钥。./openshift-install gather 命令还需要在集群节点上设置 SSH 公钥。 重要 重要 不要在生产环境中跳过这个过程，在生产环境中需要灾难恢复和调试。 注意 注意 您必须使用本地密钥，而不是使用特定平台方法配置 的密钥，如 AWS powervs 目录，以避免重复使用过时的配置。运行以下命令: b. 在提示符处，提供云的配置详情： i. 可选： 选择用于访问集群机器的 SSH 密钥。 注意 注意 对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。 ii. 选择 alibabacloud 作为目标平台。 iii

由集群外的客户端和集群内的所有 节点解析。 1.1.6. 生成 SSH 私钥并将其添加到代理中 如果要在集群上执行安装调试或灾难恢复，则必须为 ssh-agent 和安装程序提供 SSH 密钥。您可以使用 此密钥访问公共集群中的 bootstrap 机器来排除安装问题。 注意 注意 在生产环境中，您需要进行灾难恢复和调试。 您可以使用此密钥以 core 用户身份通过 SSH 连接到 master 节点。在部署集群时，此密钥会添加到 OpenShift Container Platform 老版本中复制安装文件时要格外小心。 在提示符处提供值： a. 可选：选择用来访问集群机器的 SSH 密钥。 注意 注意 对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。 b. 选择 vsphere 作为目标平台。 c. 指定 vCenter 小时后过期的证书，然后在过期时进 行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复 过期的证书。一个例外情况是，您需要手动批准待处理的 node-bootstrapper 证 书签名请求（CSR）来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书中恢复的文档。 建议您在生成 12 小时后使用 Ignition 配置文件，因为集群安装后 24

安全考虑 虑 5.1. FIPS-140-2 5.2. 代理环境 5.3. 数据加密选项 5.4. TRANSIT 中的加密 第 第 6 章 章 订阅 订阅 6.1. 订阅服务 6.2. 灾难恢复订阅要求 6.3. 内核与 VCPU 和超线程 6.4. 分割内核 6.5. 订阅要求 第 第 7 章 章 基 基础 础架 架构 构要求 要求 7.1. 平台要求 7.2. 外部模式要求 7.3 vCPU，可在任意数量的虚拟 机中使用。 OpenShift Data Foundation 订阅提供高级或标准支持。 6.2. 灾难恢复订阅要求 Red Hat OpenShift Data Foundation 支持的灾难恢复功能需要满足以下所有先决条件，才能成功实施灾 难恢复解决方案： 有效的 Red Hat OpenShift Data Foundation 高级授权 有效的 Red Hat 使用本节了解在规划内部模式部署和升级时可以考虑的不同存储容量要求。我们通常建议每个节点 9 个设 备或更少。本建议可确保节点保持低于云供应商动态存储设备附加限制，以及限制使用本地存储设备的节 点故障后恢复时间。以三个节点（每个故障域中一个节点）来扩展集群是满足 pod 放置规则的一种简单方 法。 存储节点应至少有两个磁盘，一个用于操作系统，其余磁盘用于 OpenShift Data Foundation

区数据库 库示例 示例 1.1.5. 生成 SSH 私钥并将其添加到代理中 如果要在集群上执行安装调试或灾难恢复，则必须为 ssh-agent 和安装程序提供 SSH 密钥。您可以使用 此密钥访问公共集群中的 bootstrap 机器来排除安装问题。 注意 注意 在生产环境中，您需要进行灾难恢复和调试。 您可以使用此密钥以 core 用户身份通过 SSH 连接到 master 节点。在部署集群时，此密钥会添加到 Internal，集群将无法 运行。如需更多信息， 请参阅 BZ#1953035。 sshKey 用于验证集群机器访问的 SSH 密钥或 密钥。 注意 注意 对于您要在其上执行安 装调试或灾难恢复的生 产环境 OpenShift Container Platform 集 群，请指定 ssh- agent 进程使用的 SSH 密钥。 一个或多个密钥。例如： sshKey: Quay.io。 Red Hat Enterprise Linux CoreOS (RHCOS) 中 core 用户的默认 SSH 密钥的公钥部分。 注意 注意 对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。 1.1.8.3. 在安装 在安装过程中配置集群范 程中配置集群范围代理

机器集入门 13.3. CONTROL PLANE 机器集配置 13.4. 使用 CONTROL PLANE 机器集管理 CONTROL PLANE 机器 13.5. CONTROL PLANE 弹性和恢复 13.6. CONTROL PLANE 机器集故障排除 13.7. 禁用 CONTROL PLANE 机器集 第 第 14 章 章 部署机器健康 部署机器健康检查 检查 14.1. 关于机器健康检查 使用以下云供应商的 control plane 机器集更新 control plane 配置： AWS GCP Azure Nutanix vSphere 配置和部署 机器健康检查，以自动恢复不健康的 control plane 机器。 1.4. 将自动扩展应用到 OPENSHIFT CONTAINER PLATFORM 集群 您可以自动扩展 OpenShift Container Platform MACHINE API 管理 管理计 计算机器 算机器 37 2.3.7.2. 启用 用 ultra 磁 磁盘的机器集的故障排除 的机器集的故障排除资源 源 使用本节中的信息从您可能会遇到的问题了解和恢复。 2.3.7.2.1. 不正确的 不正确的 ultra 磁 磁盘 盘配置 配置 如果在机器集中指定 ultraSSDCapability 参数的配置不正确，则机器置备会失败。 例如，如果 ultraSSDCapability

到它，您必须添加与 OpenShift Container Platform 安 装关联的 SSH 密钥。这个密钥可以与堡垒实例的密钥不同，也可以相同。 注意 注意 直接通过 SSH 访问仅建议在灾难恢复时使用。当 Kubernetes API 正常工作时，应 该使用特权 Pod。 5. 运行 oc get nodes，查看输出结果，然后选择一个 master 节点。主机名类似于 ip-10-0-1- CLI（oc）。 您之前为 Ingress Controller 配置了自定义默认证书。 流程 流程 要删除自定义证书并恢复 OpenShift Container Platform 附带的证书，请输入以下命令： 集群协调新证书配置时可能会有延迟。 验证 验证 要确认原始集群证书已被恢复，请输入以下命令： 其中： $ echo Q |\ openssl s_client -connect c 来自该命名空间的出口流量。 节点高可用性是自动的。如果托管出口 IP 地址的节点不可访问，并且有可以托管那些出口 IP 地址的节 点，那么出口 IP 地址将会移到新节点。当无法访问的托管原始出口 IP 地址的节点恢复正常后，出口 IP 地址会自动转移，以在不同节点之间均衡出口 IP 地址。 重要 重要 将出口 IP 地址与 OpenShift SDN 集群网络供应商搭配使用时会有以下限制： 您不能在同一节点上同时使用手动分配和自动分配的出口