OpenShift Container Platform 的互联网访问 4.11.3. 所需的 AWS 基础架构组件 4.11.3.1. 其他基础架构组件 4.11.3.2. 集群机器 4.11.3.3. 证书签名请求管理 4.11.3.4. 支持的 AWS 机器类型 4.11.3.5. IAM 用户所需的 AWS 权限 4.11.4. 获取安装程序 4.11.5. 生成 SSH 私钥并将其添加到代理中 Windows 上安装 OpenShift CLI 4.11.16.3. 在 macOS 上安装 OpenShift CLI 4.11.17. 使用 CLI 登录到集群 4.11.18. 批准机器的证书签名请求 4.11.19. 初始 Operator 配置 4.11.19.1. 镜像 registry 存储配置 4.11.19.1.1. 为使用用户置备的基础架构的 AWS 配置 registry OpenShift Container Platform 的互联网访问 4.12.4. 所需的 AWS 基础架构组件 4.12.4.1. 其他基础架构组件 4.12.4.2. 集群机器 4.12.4.3. 证书签名请求管理 4.12.4.4. 支持的 AWS 机器类型 4.12.4.5. IAM 用户所需的 AWS 权限 4.12.5. 生成 SSH 私钥并将其添加到代理中 4.12.6. 创建用于 AWS

Config Operator 才能更改机器。安装程序使用 Ignition 配置文件设 置每台机器的确切状态，安装后则由 Machine Config Operator 完成对机器的更多更改，例如应用新证书 或密钥等。 1.1.3. OpenShift Container Platform 安装的常见术语表 术语表定义了与安装内容相关的常用术语。参阅以下术语列表以更好地了解安装过程。 支持的安装程序 Ignition 配置文件包含在 24 小时后过期的证书，然后在过期时进 行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复 过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签 名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。 建议您在 Ignition 配置文件生成后的 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在 集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置 文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。 bootstrapp 集群涉及以下步骤： 1. bootstrap 机器启动并开始托管 control plane 机器引导所需的远程资源。如果您置备基础架构，

Config Operator 才能更改机器。安装程序使用 Ignition 配置文件设 置每台机器的确切状态，安装后则由 Machine Config Operator 完成对机器的更多更改，例如应用新证书 或密钥等。 1.1.3. OpenShift Container Platform 安装的常见术语表 术语表定义了与安装内容相关的常用术语。参阅以下术语列表以更好地了解安装过程。 支持的安装程序 Ignition 配置文件包含在 24 小时后过期的证书，然后在过期时进 行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复 过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签 名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。 建议您在 Ignition 配置文件生成后的 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在 集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置 文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。 bootstrapp 集群涉及以下步骤： 1. bootstrap 机器启动并开始托管 control plane 机器引导所需的远程资源。如果您置备基础架构，

网络要求 所需的 IP 地址 DNS 记录 1.1.6. 生成 SSH 私钥并将其添加到代理中 1.1.7. 获取安装程序 1.1.8. 在您的系统信任中添加 vCenter root CA 证书 1.1.9. 部署集群 1.1.10. 通过下载二进制文件安装 OpenShift CLI 1.1.10.1. 在 Linux 上安装 OpenShift CLI 1.1.10.2. 在 Windows 网络要求 所需的 IP 地址 DNS 记录 1.2.6. 生成 SSH 私钥并将其添加到代理中 1.2.7. 获取安装程序 1.2.8. 在您的系统信任中添加 vCenter root CA 证书 1.2.9. 创建安装配置文件 1.2.9.1. 安装配置参数 1.2.9.1.1. 所需的配置参数 1.2.9.1.2. 网络配置参数 7 7 7 7 7 8 9 9 13 13 网络要求 所需的 IP 地址 DNS 记录 1.3.6. 生成 SSH 私钥并将其添加到代理中 1.3.7. 获取安装程序 1.3.8. 在您的系统信任中添加 vCenter root CA 证书 1.3.9. 创建安装配置文件 1.3.9.1. 安装配置参数 1.3.9.1.1. 所需的配置参数 1.3.9.1.2. 网络配置参数 1.3.9.1.3. 可选配置参数 1.3.9.1

Config Operator 才能更改机器。安装程序使用 Ignition 配置文件设 置每台机器的确切状态，安装后则由 Machine Config Operator 完成对机器的更多更改，例如应用新证书 或密钥等。 1.1.1. 安装过程 安装 OpenShift Container Platform 集群时，您可以从 OpenShift Cluster Manager 站点的适当 Infrastructure Ignition 配置文件包含在 24 小时后过期的证书，然后在过期时进 行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复 过期的证书。一个例外情况是，您需要手动批准待处理的 node-bootstrapper 证 书签名请求（CSR）来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书中恢复的文档。 建议您在生成 12 小时后使用 小时后使用 Ignition 配置文件，因为集群安装后 24 小时证书从 16 小时轮转至 22 小时。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装 过程中运行证书更新时避免安装失败。 bootstrapp 集群涉及以下步骤： 1. bootstrap 机器启动并开始托管 control plane 机器引导所需的远程资源。（如果自己配置基础架 构，则需要人工干预） 2. bootstrap

Config Operator 才能更改机器。安装程序使用 Ignition 配置文件设 置每台机器的确切状态，安装后则由 Machine Config Operator 完成对机器的更多更改，例如应用新证书 或密钥等。 1.1.1. 安装过程 安装 OpenShift Container Platform 集群时，您可以从 OpenShift Cluster Manager 站点的适当 Infrastructure Ignition 配置文件包含在 24 小时后过期的证书，然后在过期时进 行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复 过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签 名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。 建议您在 Ignition 配置文件生成后的 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在 集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置 文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。 bootstrapp 集群涉及以下步骤： 1. bootstrap 机器启动并开始托管 control plane 机器引导所需的远程资源。（如果自己配置基础架

Platform 的互联网访问 1.1.3. 具有用户置备基础架构的集群的机器要求 1.1.3.1. 所需的机器 1.1.3.2. 网络连接要求 1.1.3.3. 最低资源要求 1.1.3.4. 证书签名请求管理 1.1.4. 创建用户置备的基础架构 1.1.4.1. 用户置备的基础架构对网络的要求 网络拓扑要求 负载均衡器 1.1.4.2. 用户置备 DNS 要求 1.1.5. 生成 11.3.3. 标识 Ignition 配置 1.1.11.3.4. 高级 RHCOS 安装参考 1.1.12. 创建集群 1.1.13. 使用 CLI 登录到集群 1.1.14. 批准机器的证书签名请求 1.1.15. 初始 Operator 配置 1.1.15.1. 安装过程中删除的镜像 registry 1.1.15.2. 镜像 registry 存储配置 1.1.15.2.1. Platform 的互联网访问 1.2.3. 具有用户置备基础架构的集群的机器要求 1.2.3.1. 所需的机器 1.2.3.2. 网络连接要求 1.2.3.3. 最低资源要求 1.2.3.4. 证书签名请求管理 1.2.4. 创建用户置备的基础架构 1.2.4.1. 用户置备的基础架构对网络的要求 网络拓扑要求 负载均衡器 1.2.4.2. 用户置备 DNS 要求 1.2.5. 生成

外部工件 (ARTIFACT) 3.8. 将 DOCKER 凭证用于私有 REGISTRY 3.9. 构建环境 3.10. 什么是 SECRET？ 3.11. 服务用（SERVICE SERVING）证书 SECRET 3.12. SECRET 限制 第 第 4 章 章 管理 管理构 构建 建输 输出 出 4.1. 构建输出 4.2. 输出镜像环境变量 4.3. 输出镜像标签 第 第 5 章 配置构建设置 第 第 13 章 章 构 构建故障排除 建故障排除 13.1. 解决资源访问遭到拒绝的问题 13.2. 服务证书生成失败 第 第 14 章 章 为构 为构建 建设 设置其他可信 置其他可信证书颁发 证书颁发机 机构 构 14.1. 在集群中添加证书颁发机构 14.2. 其他资源 第 第 15 章 章 创 创建和使用 建和使用 CONFIGMAP 15.1. 了解 CONFIGMAP Git 存储库。源克隆 secret 为构建器 pod 提供了通常无权访问 的资源的访问权限，例如私有存储库或具有自签名或不可信 SSL 证书的存储库。 支持以下源克隆 secret 配置。 .gitconfig 文件 基本身份验证 SSH 密钥身份验证 可信证书颁发机构 注意 注意 您还可以组合使用这些配置来满足特定的需求。 3.4.2.1. 自 自动把源克隆 把源克隆 secret 添加到

service mesh）。服务网格可以整合 到同一集群中或跨不同的 OpenShift 集群。这些新资源包括： ServiceMeshPeer - 使用单独的服务网格定义联邦，包括网关配置、root 信任证书配置和状态字 段。在一对联邦网格中，每个网格将定义自己的独立 ServiceMeshPeer 资源。 ExportedServiceMeshSet - 定义给定 ServiceMeshPeshPeer OpenShift Container Platform 4.8 Service Mesh 18 不再需要使用具有已知安全风险的 Kubernetes Secret。 在轮转证书的过程中提高了性能，因为代理不再需要重启来识别新证书。 添加了对 Istio Telemetry v2 架构的支持，该架构是由 WebAssembly 扩展构建的。这个新架 构带来了显著的性能改进。 使用简化的配置将 S 菜单中选择一个不同的 Layout Schema。 首次从 Kiali 控制台访问相关服务（如分布式追踪平台和 Grafana）时，必须使用 OpenShift Container Platform 登录凭证接受证书并重新进行身份验证。这是因为框架如何显示控制台中的 内置页面中存在问题。 Bookinfo 示例应用程序不能安装在 IBM Z 和 IBM Power 上。 IBM Z 和 IBM Power 不支持

Platform API 进行身份验证。您可以通过向 OpenShift Container Platform API 的请求中提供 OAuth 访问 令牌或 X.509 客户端证书 进行验证。 注意 注意 如果您没有提供有效的访问令牌或证书，则您的请求会未经身份验证，您会收到 HTTP 401 错误。 管理员可以通过以下任务配置身份验证： 配置身份提供程序：您可以在 OpenShift Container websocket 子协议标头发送。 X.509 客 客户 户端 端证书 证书 需要与 API 服务器的 HTTPS 连接。 由 API 服务器针对可信证书颁发机构捆绑包进行验证。 API 服务器创建证书并分发到控制器，以对自身进行身份验证。 任何具有无效访问令牌或无效证书的请求都会被身份验证层以 401 错误形式拒绝。 如果没有出示访问令牌或证书，身份验证层会将 system:anonymous 虚拟用户和 输 输出示例 出示例 3.6. 自定义内部 OAUTH 服务器 URL 您可以通过在集群 Ingress 配置的 spec.componentRoutes 字段中设置自定义主机名和 TLS 证书来自 定义内部 OAuth 服务器 URL。 $ oc get clusteroperators authentication NAME VERSION AVAILABLE