您的订阅必须可以访问红帽权利，而且权利必须具有单独的公钥和私钥文件。 流程 流程 1. 创建包含权利的 secret，确保存在含有权利公钥和私钥的单独文件： $ oc create secret generic etc-pki-entitlement --from-file /path/to/entitlement/{ID}.pem \ > --from-file /path/to/entitlement/{ID}-key RHEL 的镜像创建镜像流。这样可在整个集群中使用该镜像流。 source: secrets: - secret: name: etc-pki-entitlement destinationDir: etc-pki-entitlement OpenShift Container Platform 4.4 构 构建（ 建（build） ） 76 10.3. 使用 SUBSCRIPTION Manager 安装内容： FROM registry.redhat.io/rhel7:latest USER root # Copy entitlements COPY ./etc-pki-entitlement /etc/pki/entitlement # Copy subscription manager configurations COPY ./rhsm-conf /etc/rhsm COPY

Linux(RHEL)7 执行 Entitlement Build 时，在运行任何 yum 命令前，必须在 Dockerfile 中包含以下指令： 流程 流程 1. 在构建配置的 Docker 策略中将 etc-pki-entitlement secret 添加为构建卷： 2.10.3. 使用 Subscription Manager 运行构建 2.10.3.1. 使用 使用 Subscription Manager volumes: - name: etc-pki-entitlement mounts: - destinationPath: /etc/pki/entitlement source: type: Secret secret: secretName: etc-pki-entitlement FROM registry /7/7Server/x86_64/os enabled=1 gpgcheck=0 sslverify=0 sslclientkey = /etc/pki/entitlement/...-key.pem sslclientcert = /etc/pki/entitlement/....pem $ oc create configmap yum-repos-d --from-file /path/to/satellite

PROFILE=SYSTEM SSLProxyCipherSuite PROFILE=SYSTEM SSLCertificateFile /etc/pki/tls/certs/localhost.crt SSLCertificateKeyFile /etc/pki/tls/private/localhost.key # Configure HTTPD to execute scripts ScriptAlias of: # openssl x509 -text -in /etc/pki/tls/certs/localhost.crt ServerName www.example.com DocumentRoot /var/www/html SSLEngine on SSLCertificateFile /etc/pki/tls/certs/localhost.crt apiVersion: 51 SSLCertificateKeyFile /etc/pki/tls/private/localhost.key SSLCACertificateFile /etc/pki/CA/certs/ca.crt SSLProxyEngine on SSLProxyCACertificateFile /etc/pki/CA/certs/ca.crt # It is critical

章 配置集群范 配置集群范围 围代理 代理 17.1. 先决条件 17.2. 启用集群范围代理 17.3. 删除集群范围代理服务器 其他资源 第 第 18 章 章 配置自定 配置自定义 义 PKI 18.1. 在安装过程中配置集群范围代理 18.2. 启用集群范围代理 18.3. 使用 OPERATOR 进行证书注入 第 第 19 章 章 RHOSP 负载 负载均衡 均衡 19.1. (CR)，将 Ingress Controller 配置为使用自定义证书。 先决条件 先决条件 您必须在 PEM 编码文件中有一个证书/密钥对，其中该证书由可信证书认证机构签名，或者由您 在一个自定义 PKI 中配置的私有可信证书认证机构签名。 您的证书满足以下要求： 该证书对入口域有效。 证书使用 subjectAltName 扩展来指定通配符域，如 *.apps.ocp4.example.com。 替换为要注解的 Ingress Controller 的名称。 在整个集群中启用 HTTP/2。 要为整个集群启用 HTTP/2，请输入 oc annotate 命令： 6.9. 其他资源 配置自定义 PKI $ oc -n openshift-ingress-operator annotate ingresscontrollers/ ingress.operator

第 20 章 章 配置集群范 配置集群范围 围代理 代理 20.1. 先决条件 20.2. 启用集群范围代理 20.3. 删除集群范围代理服务器 第 第 21 章 章 配置自定 配置自定义 义 PKI 21.1. 在安装过程中配置集群范围的代理 21.2. 启用集群范围代理 21.3. 使用 OPERATOR 进行证书注入 第 第 22 章 章 RHOSP 负载 负载均衡 均衡 22.1 (CR)，将 Ingress Controller 配置为使用自定义证书。 先决条件 先决条件 您必须在 PEM 编码文件中有一个证书/密钥对，其中该证书由可信证书认证机构签名，或者由您 在一个自定义 PKI 中配置的私有可信证书认证机构签名。 您的证书满足以下要求： 该证书对入口域有效。 证书使用 subjectAltName 扩展来指定通配符域，如 *.apps.ocp4.example.com。 访问不存在的路由或路由不正确。 b. 运行以下 curl 命令或在浏览器中访问路由主机名： 4. 检查 haproxy.config 文件中的 errorfile 属性是否正确： 6.9. 其他资源 配置自定义 PKI $ oc new-app django-psql-example $ curl -vk $ curl -vk $ oc -n

32 章 章 配置集群范 配置集群范围 围代理 代理 32.1. 先决条件 32.2. 启用集群范围代理 32.3. 删除集群范围代理服务器 第 第 33 章 章 配置自定 配置自定义 义 PKI 33.1. 在安装过程中配置集群范围的代理 33.2. 启用集群范围代理 33.3. 使用 OPERATOR 进行证书注入 第 第 34 章 章 RHOSP 负载 负载均衡 均衡 34.1 (CR)，将 Ingress Controller 配置为使用自定义证书。 先决条件 先决条件 您必须在 PEM 编码文件中有一个证书/密钥对，其中该证书由可信证书认证机构签名，或者由您 在一个自定义 PKI 中配置的私有可信证书认证机构签名。 您的证书满足以下要求： 该证书对入口域有效。 证书使用 subjectAltName 扩展来指定通配符域，如 *.apps.ocp4.example.com。 maxConnections 值，则 HAProxy 进程不会启动。有关这个参数的更多信息，请参阅"Ingress Controller 配置参数"部分中的表。 7.9. 其他资源 配置自定义 PKI $ curl -vk $ curl -vk $ oc -n openshift-ingress rsh cat

指定 vCenter 实例的名称。 d. 指定创建集群所需的权限的 vCenter 帐户的用户名和密码。 安装程序连接到您的 vCenter 实例。 # cp certs/lin/* /etc/pki/ca-trust/source/anchors # update-ca-trust extract $ ./openshift-install create cluster --dir pki/ca-trust/source/anchors # update-ca-trust extract $ ./openshift-install create install-config --dir vCenter 数据存储。 vii. 选择要在其中安装 vCenter 集群的 OpenShift Container Platform 集群。安装程序使用 # cp certs/lin/* /etc/pki/ca-trust/source/anchors # update-ca-trust extract $ ./openshift-install create install-config --dir

(BZ#1701422) 如果所选的 Availability Zone 没有请求的资源，则在 AWS 环境中进行 machineset scaling 操作可 能会失败。 (BZ#1713157) 在通过自定义的 PKI 配置 ingress wildcard 证书后使用 OAuth 端点会导致登陆失败。。 (BZ#1712525) Source-to-Image (S2I) 镜像构建在 OpenShift Container

何路由访问集成的 registry。（BZ#1931857） 在以前的版本中，/etc/pki/ca-trust/extracted 文件可能会变得不可写，阻止 Image Registry Operator 将 CA 证书添加到 pod 的信任存储中。在这个版本中，emptyDir 卷被挂载到 /etc/pki/ca-trust/extracted 中，卷现在始终可以被 pod 写入。（BZ#1936984）

openshift-ingress router-certs-default -o go-template='{{index .data "tls.crt"}}' | base64 -d | sudo tee /etc/pki/ca-trust/source/anchors/${HOST}.crt > /dev/null $ sudo update-ca-trust enable $ sudo podman login