$ oc create secret generic image-registry-private-configuration-user --from- literal=KEY1=value1 --from-literal=KEY2=value2 --namespace openshift-image-registry OpenShift Container Platform 4.12 容器 容器镜 spec.bucketName}') $ AWS_ACCESS_KEY_ID=$(oc get secret -n openshift-storage rgwbucket -o jsonpath='{.data.AWS_ACCESS_KEY_ID}' | base64 --decode) $ AWS_SECRET_ACCESS_KEY=$(oc get secret -n openshift-storage openshift-storage rgwbucket -o jsonpath='{.data.AWS_SECRET_ACCESS_KEY}' | base64 --decode) OpenShift Container Platform 4.12 容器 容器镜 镜像 像仓库 仓库（ （Registry） ） 26 5. 输 输入以下命令来 入以下命令来获 获取 取 buckethost

Updater 上的 mutual TLS 身份验证的三个标记之一，其他两个是 -cert-file 和 '-key-file'。此标志指定用于验证 nfd-master 真实性的 TLS root 证书。 默认： 空 重要 -ca-file 标志必须与 -cert-file 和 -key-file 标志一起指定。 Example -cert-file -cert-file 标志是在 NFD Topology Updater 上控制 mutual TLS 身份验证的三个标记之一，其他两个与 - ca-file 和 -key-file flags。此标志指定为身份验证传出请求的 TLS 证书。 默认： 空 重要 -cert-file 标志必须与 -ca-file 和 -key-file 标志一起指定。 Example -h, -help 打印使用方法并退出. available: -ca-file=/opt/nfd/ca.crt -cert-file=/opt/nfd/updater.crt -key- file=/opt/nfd/updater.key $ nfd-topology-updater -cert-file=/opt/nfd/updater.crt -key-file=/opt/nfd/updater.key -ca- file=/opt/nfd/ca.crt OpenShift Container

io/tls。搭配 TLS 证书颁发机构使用。 如果您不想要验证，请指定 type: Opaque，即 secret 没有声明键名称或值需要符合任何约定。opaque secret 允许使用无结构 key:value 对，可以包含任意值。 注意 注意 apiVersion: v1 kind: Secret metadata: name: test-secret namespace: my-namespace AR valueFrom: secretKeyRef: 1 name: test-secret key: username restartPolicy: Never OpenShift Container Platform 4.9 节 节点 点 52 1 构 构建配置的 建配置的 YAML 不过，创建许多较小的 secret 也可能会耗尽内存。 2.6.2.2. 创 创建不透明 建不透明 secret 作为管理员，您可以创建一个不透明 secret，它允许您存储包含任意值的无结构 key:value 对。 流程 流程 1. 在控制平面节点上的 YAML 文件中创建 Secret 对象。 例如： apiVersion: build.openshift.io/v1 kind: BuildConfig

AuthorizationPolicy metadata: name: httpbin-usernamepolicy spec: action: ALLOW rules: - when: - key: 'request.regex.headers[username]' values: - "allowed.*" selector: matchLabels: 要使用现有签名（CA）证书和密钥，必须创建一个信任文件链，其中包括 CA 证书、密钥和 root 证书。 您必须为每个对应证书使用以下准确文件名称。CA 证书名为 ca-cert.pem，密钥是 ca-key.pem，签名 ca-cert.pem 的 root 证书名为 root-cert.pem。如果您的工作负载使用中间证书，则必须在 cert- chain.pem 文件中指定它们。 1. 本地保存 本地保存 Maistra repo 中的示例证书,，将 替换为证书的路径。 2. 创建名为 cacert 的 secret，其中包含输入文件 ca-cert.pem、ca-key.pem、root-cert.pem 和 cert-chain.pem。 3. 在 ServiceMeshControlPlane 资源中将 spec.security.dataPlane.mtls 设置为

用户只能有一个身份 验证技术；冲突的技术会导致操作失败。命令行选项优先于配置文件值。有效命令行选项包括： --auth-path --client-certificate --client-key --token 对于仍缺失的任何信息，将使用默认值，并提示提供其他信息。 2.4. 使用插件扩展 OPENSHIFT CLI 您可以针对默认的oc命令编写并安装插件，从而可以使用OpenShift my-context.cluster my-cluster # Set client-key-data field in the cluster-admin user using --set-raw-bytes option. oc config set users.cluster-admin.client-key-data cert_data_here --set-raw-bytes=true # Set only the "client-key" field on the "cluster-admin" # entry, without touching other values: oc config set-credentials cluster-admin --client-key=~/.kube/admin.key # Set basic auth for the

type: Opaque，即 ，即 secret 没有声明 没有声明键 键名称或 名称或值 值需要符合任何 需要符合任何约 约 定。 定。opaque secret 允 允许 许使用无 使用无结构 结构 key:value 对 对，可以包含任意 ，可以包含任意值 值。 。 注意 注意 您可以指定其他任意 您可以指定其他任意类 类型，如 型，如 example.com/my-secret-type。 AR valueFrom: secretKeyRef: 1 name: test-secret key: username restartPolicy: Never apiVersion: build.openshift.io/v1 kind: BuildConfig metadata: name: TEST_SECRET_USERNAME_ENV_VAR valueFrom: secretKeyRef: 1 name: test-secret key: username 第 第 2 章 章 使用 使用 POD 65 若要使用 若要使用 secret， ，pod 需要引用 需要引用该 该 secret。可以通 。可以通过 过三种方式将

先决条件 Git 凭证 流程 流程 将证书文件添加到源构建中，并在 gitconfig 文件中添加对证书文件的引用。 1. 将 client.crt、cacert.crt 和 client.key 文件添加到应用程序源代码的 /var/run/secrets/openshift.io/source/ 目录中。 2. 在服务器的 .gitconfig 文件中，添加下例中所示的 [http] /var/run/secrets/openshift.io/source/client.crt sslKey = /var/run/secrets/openshift.io/source/client.key sslCaInfo = /var/run/secrets/openshift.io/source/cacert.crt OpenShift Container Platform 4 --from-file=cacert.crt=/var/run/secrets/openshift.io/source/cacert.crt \ --from-file=client.key=/var/run/secrets/openshift.io/source/client.key 用户的 Git 用户名。 此用户的密码。 重要 重要 为避免必须再次输入密码，请务必在构建中指定 S2I 镜像。但是，如果无法克隆存储库，

es: tls: enabled: 与远程服务器对话时启用 传输层安全(TLS)。默认 禁用此选项。 true/ false false es: tls: key: TLS 私钥文件的路径，用 来识别此进程到远程服务 器。 第 第 3 章 章 分布式追踪平台 分布式追踪平台(JAEGER) 59 es: tls: server-name: es-archive: tls: enabled: 与远程服务器对话时启用 传输层安全(TLS)。默认 禁用此选项。 true/ false false es-archive: tls: key: TLS 私钥文件的路径，用 来识别此进程到远程服务 器。 es-archive: tls: server-name: 覆盖远程服务器证书中预 期的 TLS 服务器名称。 2 3 4 在默认命名空间中运行的 Elasticsearch 服务 URL。 TLS 配置。在这种情况下，只有 CA 证书，但在使用 mutual TLS 时，它也可以包含 es.tls.key 和 es.tls.cert。 定义环境变量 ES_PASSWORD 和 ES_USERNAME 的 Secret。由 kubectl create secret generic tracing-secret

tolerations： 相应地替换 和 。 例如，oc adm taint nodes node1 key1=value1:NoSchedule 会将一个键为 key1 且值 为 value1 的污点添加到 node1。这会防止监控组件在 node1 上部署 Pod，除非为该污 点配置了容限。以下示例将 alertmanagerMain namespace: openshift-monitoring data: config.yaml: | alertmanagerMain: tolerations: - key: "key1" operator: "Equal" value: "value1" effect: "NoSchedule" $ oc -n opens tolerations： 相应地替换 和 。 例如，oc adm taint nodes node1 key1=value1:NoSchedule 会将一个键为 key1 且值 为 value1 的污点添加到 node1。这会防止监控组件在 node1 上部署 Pod，除非为该污 点配置了容限。以下示例将 thanosRuler 组件配置为容许示例污点：