Cloudová platforma Dell APEX pro systém Red Hat OpenShift: Nepodařilo se vytvořit odpojené clustery spravované HCP kvůli chybám ověření certifikátu
Summary: Vytvoření odpojených spravovaných clusterů HCP (Hosted Control Plane) selhalo kvůli chybě "Nepodařilo se ověřit certifikát: x509: certifikát podepsaný neznámou autoritou".
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Při vytváření odpojeného clusteru spravovaného HCP podle pokynů pro správce může proces selhat. V konzole uživatelského rozhraní se zobrazí chyba "Nepodařilo se ověřit certifikát: x509: certifikát podepsaný neznámou autoritou".
Cause
V cloudové platformě Dell APEX pro cluster Red Hat OpenShift (ACP4OCP) jsou vyžadovány dva registry:
Během instalace clusteru spravovaného HCP ale komponenta Hypershift ACP4OCP vytvoří vlastní důvěryhodnou certifikační autoritu na základě nastavení prostředku image.config.openshift.io. Používá ho k ověření bitové kopie verze OpenShift Container Platform (OCP). Pokud konfigurace additionalTrustedCA zahrnuje dva certifikáty a jako oddělovač používá "|-", funkce Hypershift nepřidá za první certifikát zalomení řádku. To způsobí, že oba certifikáty budou považovány za neplatné.
V syntaxi YAML jsou "|-" i "|" platné oddělovače, které se používají k reprezentaci víceřádkových řetězcových hodnot. Při vytváření nebo úpravě ConfigMap klíče a hodnoty z webové konzoly OCP se jako výchozí oddělovač
použije "|-".Pokud chcete zkontrolovat, jestli mapa konfigurace obsahuje "|-" jako oddělovač, spusťte ve správci ACP následující příkaz:
- Interní registr s názvem depot-manager v rámci clusteru ACP4OCP Hub pro ukládání bitových kopií OCP a ACP Manager.
- Externí registr pro zpracování výpadků napájení.
Během instalace clusteru spravovaného HCP ale komponenta Hypershift ACP4OCP vytvoří vlastní důvěryhodnou certifikační autoritu na základě nastavení prostředku image.config.openshift.io. Používá ho k ověření bitové kopie verze OpenShift Container Platform (OCP). Pokud konfigurace additionalTrustedCA zahrnuje dva certifikáty a jako oddělovač používá "|-", funkce Hypershift nepřidá za první certifikát zalomení řádku. To způsobí, že oba certifikáty budou považovány za neplatné.
V syntaxi YAML jsou "|-" i "|" platné oddělovače, které se používají k reprezentaci víceřádkových řetězcových hodnot. Při vytváření nebo úpravě ConfigMap klíče a hodnoty z webové konzoly OCP se jako výchozí oddělovač
použije "|-".Pokud chcete zkontrolovat, jestli mapa konfigurace obsahuje "|-" jako oddělovač, spusťte ve správci ACP následující příkaz:
-
oc get configmap -n openshift-config acp-ingress-ca -o yaml
Resolution
Chcete-li změnit oddělovač mezi názvem certifikátu a klíčem certifikátu z "|-" na "|", proveďte následující kroky:
- Ve správci ACP spusťte příkaz "oc edit configmap -n openshift-config acp-ingress-ca", změňte "|-" na "|" a uložte změny do mapy konfigurace.
- Restartujte pody komponent hypershiftu pomocí příkazu "oc delete pod -n hypershift --all".
- Až budou pody HyperShiftu připravené, zkuste znovu nastavit cluster spravovaný HCP.
Affected Products
APEX Cloud Platform for Red Hat OpenShiftArticle Properties
Article Number: 000226907
Article Type: Solution
Last Modified: 28 Aug 2024
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.