[https://localhost:8443]: https://openshift.example.com:6443 1 The server uses a certificate signed by an unknown authority. You can bypass the certificate check, but any data you send to the server could be intercepted oc config set-cluster [--server=] [--certificate-authority=certificate/authority>] [--api-version=] [--insecure-skip-tls-verify=true] 第 第 2 章 要使用的实际集群信息决定。此时，您可能没有集群信息。集群信息的每个信息根据以下流程中 的第一个匹配项构建： 以下命令行选项中的任何值： --server, --api-version --certificate-authority --insecure-skip-tls-verify 如果集群信息和属性的值存在，则使用它。 如果您没有服务器位置，则出现错误。 要使用的实际用户信息是确定的。用户使用与

[https://localhost:8443]: https://openshift.example.com:6443 1 The server uses a certificate signed by an unknown authority. You can bypass the certificate check, but any data you send to the server could be intercepted oc config set-cluster [--server=] [--certificate-authority=certificate/authority>] [--api-version=] [--insecure-skip-tls-verify=true] 第 第 2 章 要使用的实际集群信息决定。此时，您可能没有集群信息。集群信息的每个信息根据以下流程中 的第一个匹配项构建： 以下命令行选项中的任何值： --server, --api-version --certificate-authority --insecure-skip-tls-verify 如果集群信息和属性的值存在，则使用它。 如果您没有服务器位置，则出现错误。 要使用的实际用户信息是确定的。用户使用与

[https://localhost:8443]: https://openshift.example.com:6443 1 The server uses a certificate signed by an unknown authority. You can bypass the certificate check, but any data you send to the server could be intercepted oc config set-cluster [--server=] [--certificate-authority=certificate/authority>] [--api-version=] [--insecure-skip-tls-verify=true] $ oc config 要使用的实际集群信息决定。此时，您可能没有集群信息。集群信息的每个信息根据以下流程中 的第一个匹配项构建： 以下命令行选项中的任何值： --server, --api-version --certificate-authority users: - name: alice/openshift1.example.com user: token: ns7yVhuRNpDM9cgzfhhxQ7bM5s7N2ZVrkZepSRf4LC0

args: - adm - prune - images - --certificate-authority=/var/run/secrets/kubernetes.io/serviceaccount/service-ca.crt - --keep-tag-revisions=5 包括没有推送到 registry 但已通过 pullthrough 镜像的镜像。默认为 开启。要将修剪限制为已被推送到集成 registry 的镜像，请传递 -- all=false。 --certificate-authority 与 OpenShift Container Platform 管理的 registry 通信时使用的证 书颁发机构文件的路径。默认为来自当前用户配置文件的证书颁发 机构数据。如果提供，则发起安全连接。 协议来进行，并且会强制验证证书。若有可能，prune 命 令始终会尝试使用这种连接。如果不可能，某些情况下会回退到不安全连接，而这存在危险。这时，会跳 过证书验证或使用普通 HTTP 协议。 除非指定了 --certificate-authority，否则以下情形中允许回退到不安全连接： 1. 使用 --force-insecure 选项运行 prune 命令。 2. 提供的 registry-url 带有 http://

包括没有推送到 registry 但已通过 pullthrough 镜像的镜像。默认为 开启。要将修剪限制为已被推送到集成 registry 的镜像，请传递 -- all=false。 --certificate-authority 与 OpenShift Container Platform 管理的 registry 通信时使用的证 书颁发机构文件的路径。默认为来自当前用户配置文件的证书颁发 机构数据。如果提供，则发起安全连接。 registry 进行不安全连接。 --keep-tag-revisions= 对于每个镜像流，每个标签最多保留 N 个镜像修订（默认值 3）。 - --certificate-authority=/var/run/secrets/kubernetes.io/serviceaccount/service-ca.crt - --keep-tag-revisions=5 协议来进行，并且会强制验证证书。若有可能，prune 命 令始终会尝试使用这种连接。如果不可能，某些情况下会回退到不安全连接，而这存在危险。这时，会跳 过证书验证或使用普通 HTTP 协议。 除非指定了 --certificate-authority，否则以下情形中允许回退到不安全连接： 1. 使用 --force-insecure 选项运行 prune 命令。 2. 提供的 registry-url 带有 http://

oc config set-cluster [--server=] [--certificate-authority=certificate/authority>] [--api-version=] [--insecure-skip-tls-verify=true] $ oc config name> $ oc whoami -c OpenShift Container Platform 3.11 CLI 参考 参考 18 --api-version --certificate-authority --insecure-skip-tls-verify 如果集群信息和属性的值存在，则使用它。 如果您没有服务器位置，则出现错误。 5. 要使用的实际用户信息是确定的。用户 要使用的实际用户信息是确定的。用户使用与集群相同的规则构建，但每个用户只能有一个身份 验证技术；冲突的技术会导致操作失败。命令行选项优先于配置文件值。有效命令行选项包括： --auth-path --client-certificate --client-key --token 6. 对于仍缺失的任何信息，将使用默认值，并提示提供其他信息。 第 第 3 章 章 管理 管理 CLI 配置集 配置集 19 第 4 章

key)。如果自定义主机名后缀的域与集群域后缀不匹配，则需要此项。如果后缀匹 配，secret 是可选的。  $ oc login -u -p --certificate-authority= 1 $ oc edit ingress.config.openshift.io cluster apiVersion: config.openshift ConfigMap metadata: name: ca-config-map namespace: openshift-config data: ca.crt: | certificate_PEM> apiVersion: config.openshift.io/v1 OpenShift Container Platform 4.13 认证 认证和授 和授权 权 34 ConfigMap metadata: name: ca-config-map namespace: openshift-config data: ca.crt: | certificate_PEM> apiVersion: config.openshift.io/v1 kind: OAuth metadata: name: cluster spec: identityProviders:

c. 导出本地存储库名称： 对于 ，请指定要在 registry 中创建的仓库名称，如 ocp4/openshift4。 x509: certificate relies on legacy Common Name field, use SANs or temporarily enable Common Name matching with 安装程序以及集群的 pull secret。 流程 流程 1. 更改为包含安装程序的目录并初始化集群部署： -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- ... $ ./openshift-install create cluster --dir noProxy: example.com 3 additionalTrustBundle: | 4 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- ... 第 第 4 章 章 在 在 AWS 上安装 上安装 145 安装程序会创建一个名为 cluster 的集群范围代理，该代理使用提供的

c. 导出本地存储库名称： 对于 ，请指定要在 registry 中创建的仓库名称，如 ocp4/openshift4。 x509: certificate relies on legacy Common Name field, use SANs or temporarily enable Common Name matching with noProxy: example.com 3 additionalTrustBundle: | 4 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- ... OpenShift Container Platform 4.8 安装 安装 82 1 2 射来保存额外的 noProxy: example.com 3 additionalTrustBundle: | 4 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- ... 第 第 4 章 章 在 在 AWS 上安装 上安装 107 射来保存额外的 CA 证书。如果您提供 additionalTrustBundle

noProxy: example.com 3 additionalTrustBundle: | 4 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- ... 第 第 4 章 章 在 在 ALIBABA 上安装 上安装 101 4 1 2 如果提供，安装程序会在 noProxy: example.com 3 additionalTrustBundle: | 4 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- ... $ ./openshift-install wait-for install-complete --log-level noProxy: example.com 3 additionalTrustBundle: | 4 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- ... $ ./openshift-install wait-for install-complete --log-level