ge-bootstrap.ign 4. 将 Ignition 配置文件转换为 Base64 编码。在此过程中，您必须将这些文件添加到虚拟机中的其 他配置参数 guestinfo.ignition.config.data 中。 例如，如果您使用 Linux 操作系统，可以使用 base64 命令来编码这些文件。 重要 重要 如果您计划在安装完成后在集群中添加更多计算机器，请不要删除这些文件。 Configuration Params。定义以下参数名称和值： guestinfo.ignition.config.data ：查找您之前在这个流程中创建的 base-64 编码文 件，并粘贴此机器类型中以 base64 编码的 Ignition 配置文件的内容。 guestinfo.ignition.config.data.encoding：指定 base64。 disk.EnableUUID：指定 Enterprise Linux CoreOS（RHCOS）机器 您可以为集群创建更多计算机器，在 VMware vSphere 上使用用户置备的基础架构。 先决条件 获取计算机器的 Base64 编码 Ignition 文件。 您可以访问您为集群创建的 vSphere 模板。 流程 1. 部署模板后，为集群中的机器部署虚拟机。 a. 右键点击模板的名称，再点击 Clone → Clone

Container Platform 4.6 节 节点 点 60 3 4 5 与 与 data 映射中 映射中键 键关 关联 联的 的值 值必 必须 须采用 采用 base64 编码 编码。 。 stringData 映射中的条目将 映射中的条目将转换为 转换为 base64，然后 ，然后该 该条目将自 条目将自动 动移 移动 动到 到 data 6 节 节点 点 62 1 2 3 指定 指定 secret 的 的类 类型。 型。 指定 指定编码 编码的字符串和数据。 的字符串和数据。 指定解 指定解码 码的字符串和数据。 的字符串和数据。 使用 使用 data 或 。 在使用此 在使用此 secret 类 类型 型时 时， ，Secret 对 对象的 象的 data 参数必 参数必须 须包含以下密 包含以下密钥 钥，采用 ，采用 base64 格式 格式编码 编码： ： 用 用户 户名 名 ：用于身份 ：用于身份验证 验证的用 的用户 户名 名 密 密码 码 ：用于身份 ：用于身份验证 验证的密

来管理镜像。 Operator 在 OpenShift Container Platform 集群中打包、部署和管理 Kubernetes 应用程序的首选方法。 Operator 将人类操作知识编码到一个软件程序中，易于打包并与客户共享。 OperatorHub 包含要安装的 OpenShift Container Platform Operator 的平台。 Operator Lifecycle 要查看 bootstrap.ign 文件的内容，请通过 jq 过滤器对其进行管道传递。以下是该文件的片段： 要解码 bootstrap.ign 文件中列出的文件内容，请将代表该文件内容的 base64 编码的数据字符串通过管 道传递给 base64 -d 命令。以下示例使用了上方输出中添加至 bootstrap 机器的 /etc/motd 文件的内容： 输 输出示例 出示例 $ openshift-install Ignition 配置信息都与 bootstrap 机器的配置一起存储在 bootstrap.ign 中。 大小：文件长度超过 1300 行，包含指向各种资源的路径。 要复制到机器的每个文件的内容实际上编码为数据 URL，这往往会使内容读起来有些混乱。（使 用前面显示的 jq 和 base64 命令可使内容更易读。） 配置：Ignition 配置文件的不同部分通常涵盖刚放入机器文件系统中的文件，而不是用于修改现有

对象之间建立映射。 Keystone 域名。在 Keystone 中，用户名是特定于域的。只支持一个域。 用于连接到 Keystone 服务器的 URL（必需）。这必须使用 https。 可选：对包含 PEM 编码证书颁发机构捆绑包的 OpenShift Container Platform ConfigMap 的引 用，以用于验证所配置 URL 的服务器证书。 可选：对包含客户端证书的 OpenShift bindPassword，则必须设置此项。 对包含绑定密码的 OpenShift Container Platform Secret 对象的可选引用。如果定义了 bindDN， 则必须设置此项。 可选：对包含 PEM 编码证书颁发机构捆绑包的 OpenShift Container Platform ConfigMap 的引 用，以用于验证所配置 URL 的服务器证书。仅在 insecure 为 false 时使用。 此提供程序名称作为前缀放在返回的用户 ID 前，以此组成身份名称。 控制如何在此提供程序的身份和 User 对象之间建立映射。 接受基本身份验证标头中凭证的 URL。 可选：对包含 PEM 编码证书颁发机构捆绑包的 OpenShift Container Platform ConfigMap 的引 用，以用于验证所配置 URL 的服务器证书。 可选：对包含客户端证书的 OpenShift

3VybmFsY3RsIC1iIC1m IC11IGJvb3RrdWJlLnNlcnZpY2UK", 要解码 bootstrap.ign 文件中列出的文件内容，请将代表该文件内容的 base64 编码的数据字符串通过管 道传递给 base64 -d 命令。以下示例使用了上方输出中添加至 bootstrap 机器的 /etc/motd 文件的内容： $ echo VGhpcyBpcyB0aGU Ignition 配置信息都与 bootstrap 机器的配置一起存储在 bootstrap.ign 中。 大小：文件长度超过 1300 行，包含指向各种资源的路径。 要复制到机器的每个文件的内容实际上编码为数据 URL，这往往会使内容读起来有些混乱。（使 用前面演示的 jq 和 base64 命令可使内容更易读。） 配置：Ignition 配置文件的不同部分通常涵盖刚放入机器文件系统中的文件，而不是用于修改现有 可能会为所有客户端造成无法预计的行为。 webhook 准入插件和 webhook 服务器之间的通信必须使用 TLS。生成一个 CA 证书，使用该证书为您的 webhook 准入服务器使用的服务器证书签名。PEM 编码的 CA 证书使用某种机制（如 service serving 证 书 secret）提供给 webhook 准入插件。 下图演示了调用多个 webhook 服务器的序列准入链进程。 图 图 8

要查看 bootstrap.ign 文件的内容，请通过 jq 过滤器对其进行管道传递。以下是该文件的片段： 要解码 bootstrap.ign 文件中列出的文件内容，请将代表该文件内容的 base64 编码的数据字符串通过管 道传递给 base64 -d 命令。以下示例使用了上方输出中添加至 bootstrap 机器的 /etc/motd 文件的内容： 输出示例 出示例 $ openshift-install Ignition 配置信息都与 bootstrap 机器的配置一起存储在 bootstrap.ign 中。 大小：文件长度超过 1300 行，包含指向各种资源的路径。 要复制到机器的每个文件的内容实际上编码为数据 URL，这往往会使内容读起来有些混乱。（使 用前面显示的 jq 和 base64 命令可使内容更易读。） 配置：Ignition 配置文件的不同部分通常涵盖刚放入机器文件系统中的文件，而不是用于修改现有 可能会为所有客户端造成无法预计的行为。 webhook 准入插件和 webhook 服务器之间的通信必须使用 TLS。生成一个 CA 证书，使用该证书为您的 webhook 准入服务器使用的服务器证书签名。PEM 编码的 CA 证书使用某种机制（如 service serving 证 书 secret）提供给 webhook 准入插件。 下图演示了调用多个 webhook 服务器的序列准入链进程。 图 图 7

Do you wish to trust these keys? [ynYN] y eyJhbmc3SlRyMXpPenc3ajhEQ01tZVJiTi1oM... 5. 创建 Base64 编码文件，使用新生成的 Tang server 替换 url，thumbprint 替换thp： $ (cat <编码文件： 重要 重要 您必须添加 rd.neednet=1 内核参数。 $ cat << EOF > ./99-openshift-worker-tang-encryption.yaml apiVersion: chrony 时间服务 (chronyd) 使用的时间服务器和相关设 置，并通过一个机器配置将这些内容传递给节点。 流程 流程 1. 创建 chrony.conf 文件的内容并对其进行 base64 编码。例如： $ cat << EOF | base64 server clock.redhat.com iburst driftfile /var/lib/chrony/drift

secret 的键和值的结构。 data 字段中允许的键格式必须符合 Kubernetes 标识符术语表中 DNS_SUBDOMAIN 值的规范。 与 data 映射中键关联的值必须采用 base64 编码。 stringData 映射中的条目将转换为 base64，然后该条目将自动移动到 data 映射中。此字段是只写 的；其值仅通过 data 字段返回。 与 stringData 映射中键关联的值由纯文本字符串组成。 secret 对象。在以下部分中取消每个 secret 类型所需的特定 数据。 创 创建不透明 建不透明 secret 的 的 YAML 对 对象示例 象示例 指定 secret 的类型。 指定编码的字符串和数据。 指定解码的字符串和数据。 使用 data 或 stringdata 字段，不能同时使用这两个字段。 2. 更新 pod 的服务帐户以引用 secret： 使用 使用 secret 作为管理员，您可以创建一个基本身份验证 secret，该 secret 允许您存储基本身份验证所需的凭证。在使 用此 secret 类型时，Secret 对象的 data 参数必须包含以下密钥，采用 base64 格式编码： 用 用户 户名 名 ：用于身份验证的用户名 密 密码 码 ：用于身份验证的密码或令牌 注意 注意 您可以使用 stringData 参数使用明文内容。 流程 流程 1. 在控制平面节点上的

\ --from-file=id_rsa= 这会创建一个名为 secret-mvn 的新 secret，其包含 id_rsa 私钥的 base64 编码内容。 3. 将配置映射和 secret 添加到现有 BuildConfig 对象的 source 部分中： 要在新 BuildConfig 对象中包含 secret 和配置映射，请运行以下命令： secret 的键和值的结构。 data 字段中允许的键格式必须符合 Kubernetes 标识符术语表中 DNS_SUBDOMAIN 值的规范。 与 data 映射中键关联的值必须采用 base64 编码。 stringData 映射中的条目将转换为 base64，然后该条目将自动移动到 data 映射中。此字段是只写 的；其值仅通过 data 字段返回。 与 stringData 映射中键关联的值由纯文本字符串组成。 此命令将生成名为 dockerhub 的 secret JSON 规格并创建该对象。 指定一个 opaque secret。 指定该 secret 使用 Docker 配置 JSON 文件。 base64 编码的 Docker 配置 JSON 文件 3.10.4.1. 使用 使用 secret 创建 secret 后，可以创建一个 Pod 来引用您的 secret，再获取日志，然后删除 Pod。 流程

Cluster Manager 下载 registry.redhat.io 的 pull secret，并将它保存到 .json 文件中。 2. 为您的镜像 registry 生成 base64 编码的用户名和密码或令牌： 通过 和 指定 registry 的用户名和密码。 3. 以 JSON 格式创建您的 pull secret 副本： 指定到存储 端口。例如： registry.example.com 或 registry.example.com:8443 使用 为您的镜像 registry 指定 base64 编码的用户名和密码。 该文件类似于以下示例： "auths": { "cloud.openshift.com": { "auth": "b3BlbnNo...", ，请指定您在镜像 registry 证书中指定的 registry 域名；对于 ，请指定您的镜像 registry 的 base64 编码用户名和密码。 b. 添加 additionalTrustBundle 参数和值。 该值必须是您用于镜像 registry 的证书文件内容，可以是现有的可信证书颁发机构或您为镜 像 registry