kube-system 项目中存储管理员级别的 secret 的替代方案 4.3.2. 手动创建 IAM 4.3.3. 使用手动维护的凭证升级集群 4.3.4. Mint 模式 4.3.5. 带有删除或轮转管理员级凭证的 Mint 模式 4.3.6. 后续步骤 4.4. 在 AWS 上快速安装集群 4.4.1. 先决条件 4.4.2. OpenShift Container Platform 的互联网访问 kube-system 项目中存储管理员级别的 secret 的替代方案 6.2.2. 手动创建 IAM 6.2.3. 使用手动维护的凭证升级集群 6.2.4. Mint 模式 6.2.5. 带有删除或轮转管理员级凭证的 Mint 模式 6.2.6. 后续步骤 6.3. 在 GCP 上快速安装集群 6.3.1. 先决条件 6.3.2. OpenShift Container Platform 的互联网访问 Operator 才能更改机器。安装程序使用 Ignition 配置文件设 置每台机器的确切状态，安装后则由 Machine Config Operator 完成对机器的更多更改，例如应用新证书 或密钥等。 1.1.1. 安装过程 安装 OpenShift Container Platform 集群时，您可以从 OpenShift Cluster Manager 站点的适当 Infrastructure

Operator 才能更改机器。安装程序使用 Ignition 配置文件设 置每台机器的确切状态，安装后则由 Machine Config Operator 完成对机器的更多更改，例如应用新证书 或密钥等。 1.1.1. 安装过程 安装 OpenShift Container Platform 集群时，您可以从 OpenShift Cluster Manager 站点的适当 Infrastructure kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书中恢复的文档。 建议您在生成 12 小时后使用 Ignition 配置文件，因为集群安装后 24 小时证书从 16 小时轮转至 22 小时。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装 过程中运行证书更新时避免安装失败。 bootstrapp 集群涉及以下步骤： 1. bootstrap 机器启动并开始托管 Linux(RHEL)8。 Red Hat Quay 服务的完全限定域名，它必须通过 DNS 服务器解析。 目标主机上的免密码 sudo 访问。 目标主机上的基于密钥的 SSH 连接。为本地安装自动生成 SSH 密钥。对于远程主机，您必须生 成自己的 SSH 密钥。 2 个或更多 vCPU。 8 GB RAM。 关于 OpenShift Container Platform 4.8 发行镜像的 8.7 GB，或大约

和安装程序提供 SSH 密钥。您可以使用 此密钥访问公共集群中的 bootstrap 机器来排除安装问题。 注意 注意 在生产环境中，您需要进行灾难恢复和调试。 您可以使用此密钥以 core 用户身份通过 SSH 连接到 master 节点。在部署集群时，此密钥会添加到 core 用户的 ~/.ssh/authorized_keys 列表中。 注意 注意 您必须使用一个本地密钥，而不要使用在特定平台上配置的密钥，如 平台上配置的密钥，如 AWS 密钥对。 流程 1. 如果还没有为计算机上免密码身份验证而配置的 SSH 密钥，请创建一个。例如，在使用 Linux 操 作系统的计算机上运行以下命令： 指定新 SSH 密钥的路径和文件名，如 ~/.ssh/id_rsa。如果您已有密钥对，请确保您的公钥 位于 ~/.ssh 目录中。 运行此命令会在指定的位置生成不需要密码的 SSH 密钥。 注意 注意 $ Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 作为后台任务启动 ssh-agent 进程： 输 输出示例 出示例 注意 注意 如果您的集群采用 FIPS 模式，则只使用 FIPS 兼容算法来生成 SSH 密钥。密钥必 须是 RSA 或 ECDSA。 3. 将 SSH 私钥添加到 ssh-agent：

Operator 才能更改机器。安装程序使用 Ignition 配置文件设 置每台机器的确切状态，安装后则由 Machine Config Operator 完成对机器的更多更改，例如应用新证书 或密钥等。 1.1.3. OpenShift Container Platform 安装的常见术语表 术语表定义了与安装内容相关的常用术语。参阅以下术语列表以更好地了解安装过程。 支持的安装程序 支持的安装程序 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。 建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在 集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置 文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。 bootstrapp 集群涉及以下步骤： 1. bootstrap 机器启动并开始托管 Enterprise Linux (RHEL) 8 和 9。 Red Hat Quay 服务的完全限定域名，它必须通过 DNS 服务器解析。 目标主机上的基于密钥的 SSH 连接。为本地安装自动生成 SSH 密钥。对于远程主机，您必须生 成自己的 SSH 密钥。 2 个或更多 vCPU。 8 GB RAM。 OpenShift Container Platform 4.14 发行镜像大约需要 12 GB；OpenShift

Operator 才能更改机器。安装程序使用 Ignition 配置文件设 置每台机器的确切状态，安装后则由 Machine Config Operator 完成对机器的更多更改，例如应用新证书 或密钥等。 1.1.3. OpenShift Container Platform 安装的常见术语表 术语表定义了与安装内容相关的常用术语。参阅以下术语列表以更好地了解安装过程。 支持的安装程序 支持的安装程序 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。 建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在 集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置 文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。 bootstrapp 集群涉及以下步骤： 1. bootstrap 机器启动并开始托管 Enterprise Linux (RHEL) 8 和 9。 Red Hat Quay 服务的完全限定域名，它必须通过 DNS 服务器解析。 目标主机上的基于密钥的 SSH 连接。为本地安装自动生成 SSH 密钥。对于远程主机，您必须生 成自己的 SSH 密钥。 2 个或更多 vCPU。 8 GB RAM。 OpenShift Container Platform 4.13 发行镜像大约需要 12 GB；OpenShift

Operator 才能更改机器。安装程序使用 Ignition 配置文件设 置每台机器的确切状态，安装后则由 Machine Config Operator 完成对机器的更多更改，例如应用新证书 或密钥等。 1.1.1. 安装过程 安装 OpenShift Container Platform 集群时，您可以从 OpenShift Cluster Manager 站点的适当 Infrastructure 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。 建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在 集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置 文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。 bootstrapp 集群涉及以下步骤： 1. bootstrap 机器启动并开始托管 Enterprise Linux (RHEL) 8 和 9。 Red Hat Quay 服务的完全限定域名，它必须通过 DNS 服务器解析。 目标主机上的基于密钥的 SSH 连接。为本地安装自动生成 SSH 密钥。对于远程主机，您必须生 成自己的 SSH 密钥。 2 个或更多 vCPU。 8 GB RAM。 OpenShift Container Platform 4.10 发行镜像大约需要 12 GB；OpenShift

命名空间中创建了包含 TLS 证书和密钥的 secret。如果自定义主机名 后缀的域与集群域后缀不匹配，则需要此项。如果后缀匹配，secret 是可选的。 提示 提示 您可以使用 oc create secret tls 命令创建 TLS secret。 流程 流程 1. 编辑集群 Ingress 配置： 2. 设置自定义主机名以及可选的服务证书和密钥： 自定义主机名. 对 openshift-config openshift-config 命名空间中的 secret 的引用，该 secret 包含 TLS 证书 ( tls.crt) 和密钥 (tls.key)。如果自定义主机名后缀的域与集群域后缀不匹配，则需要此项。如果后缀匹 配，secret 是可选的。  $ oc login -u -p --certificate-authority=密钥。 identity.user.openshift.io "my_htpasswd_provider:" deleted 第 第 7 章 章 配置身份提供程序 配置身份提供程序 33 流程 流程 使用以下命令，创建一个包含密钥和证书的 Secret 对象： 提示 提示 您还可以应用以下 YAML

如果要在集群上执行安装调试或灾难恢复，则必须为 ssh-agent 和安装程序提供 SSH 密钥。您可以使用 此密钥访问公共集群中的 bootstrap 机器来排除安装问题。 注意 注意 在生产环境中，您需要进行灾难恢复和调试。 您可以使用此密钥以 core 用户身份通过 SSH 连接到 master 节点。在部署集群时，此密钥会添加到 core 用户的 ~/.ssh/authorized_keys 列表中。 12 1 1 注意 注意 您必须使用一个本地密钥，而不要使用在特定平台上配置的密钥，如 AWS 密钥对。 流程 流程 1. 如果还没有为计算机上免密码身份验证而配置的 SSH 密钥，请创建一个。例如，在使用 Linux 操 作系统的计算机上运行以下命令： 指定新 SSH 密钥的路径和文件名，如 ~/.ssh/id_rsa。如果您已有密钥对，请确保您的公钥 位于 ~/.ssh 目录中。 运行此命令会在指定的位置生成不需要密码的 SSH 密钥。 注意 注意 如果您计划在 x86_64 架构中安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 作为后台任务启动 ssh-agent 进程：

孤立。如果需要， 您必须手动删除孤立的磁盘。 2.3.8. 为机器集启用客户管理的加密密钥 您可以为 Azure 提供加密密钥，以便加密受管磁盘上的数据。您可以使用 Machine API 使用客户管理的密 钥启用服务器端加密。 使用客户管理的密钥需要 Azure Key Vault、磁盘加密集和加密密钥。磁盘加密集必须在 Cloud Credential Operator（CCO）授予权限 Operator（CCO）授予权限的资源组中。如果没有，则需要在磁盘加密集中授予额外的 reader 角色。 先决条件 先决条件 创建 Azure Key Vault 实例。 创建磁盘加密集的实例。 授予磁盘加密集对密钥 vault 的访问权限。 type: DirectoryOrCreate nodeSelector: disktype: ultrassd StorageAccountType 4.14 机器管理 机器管理 38 流程 流程 在机器集 YAML 文件中的 providerSpec 字段中配置磁盘加密集。例如： 其他 其他资 资源 源 Azure 文档中有关客户管理的密钥 2.3.9. 使用机器集为 Azure 虚拟机配置可信启动 重要 重要 为 Azure 虚拟机使用可信启动只是一个技术预览功能。技术预览功能不受红帽产品服务等 级协议（SLA）支持，且功能可

Operator 才能更改机器。安装程序使用 Ignition 配置文件设 置每台机器的确切状态，安装后则由 Machine Config Operator 完成对机器的更多更改，例如应用新证书 或密钥等。 3.1.1. OpenShift Container Platform 集群支持的平台 在 OpenShift Container Platform 4.10 中，您可以在以下平台上安装使用安装程序置备的基础架构集群： 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。 建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在 集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置 文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。 bootstrapp 集群涉及以下步骤： 1. bootstrap 机器启动并开始托管 spec.paused 字段设置为 false，且节点已重启至新配置。 确保发生 CA 证书轮转时取消暂停池。如果 MCP 暂停，MCO 无法将新轮转的证书推送到 这些节点。这会导致集群降级，并在多个 oc 命令中造成失败，包括 oc debug、oc logs、oc exec 和 oc attach。如果在轮转证书时，如果 MCP 被暂停，则 OpenShift Container Platform