Dell APEX Cloud Platform para Red Hat OpenShift: Error al crear clústeres administrados por HCP desconectados debido a errores de verificación de certificados
Summary: La creación de clústeres administrados del plano de control alojado (HCP) desconectados falló debido al error "No se pudo verificar el certificado: x509: certificado firmado por autoridad desconocida". ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Cuando se sigue la guía de administración para crear un clúster desconectado administrado por HCP, el proceso puede fallar. La consola de la interfaz de usuario mostrará el error "no se pudo verificar certificate: x509: certificate signed by unknown authority".
Cause
En un clúster de Dell APEX Cloud Platform para Red Hat OpenShift (ACP4OCP), se requieren dos registros:
Sin embargo, durante la configuración del clúster administrado por HCP, el componente hypershift del ACP4OCP crea su propia TrustedCA basada en la configuración del recurso image.config.openshift.io. Utiliza esto para verificar la imagen de la versión de OpenShift Container Platform (OCP). Si la configuración additionalTrustedCA incluye dos certificados y utiliza "|-" como delimitador, hypershift no agrega un salto de línea después del primer certificado. Esto hace que ambos certificados se consideren no válidos.
En la sintaxis de YAML, "|-" y "|" son delimitadores válidos, que se utilizan para representar valores de cadena de varias líneas. Cuando se crea o modifica un ConfigMap de "clave/valor" desde la consola web de OCP, se utilizará "|-" como delimitador predeterminado.
Para comprobar si el mapa de configuración contiene "|-" como delimitador, ejecute el siguiente comando en el administrador de ACP:
- Un registro interno denominado depot-manager dentro del clúster de ACP4OCP Hub para almacenar imágenes de administrador de OCP y ACP.
- Un registro externo para manejar interrupciones de alimentación.
Sin embargo, durante la configuración del clúster administrado por HCP, el componente hypershift del ACP4OCP crea su propia TrustedCA basada en la configuración del recurso image.config.openshift.io. Utiliza esto para verificar la imagen de la versión de OpenShift Container Platform (OCP). Si la configuración additionalTrustedCA incluye dos certificados y utiliza "|-" como delimitador, hypershift no agrega un salto de línea después del primer certificado. Esto hace que ambos certificados se consideren no válidos.
En la sintaxis de YAML, "|-" y "|" son delimitadores válidos, que se utilizan para representar valores de cadena de varias líneas. Cuando se crea o modifica un ConfigMap de "clave/valor" desde la consola web de OCP, se utilizará "|-" como delimitador predeterminado.
Para comprobar si el mapa de configuración contiene "|-" como delimitador, ejecute el siguiente comando en el administrador de ACP:
-
oc get configmap -n openshift-config acp-ingress-ca -o yaml
Resolution
Para cambiar el delimitador entre el nombre del certificado y la clave del certificado de "|-" a "|", realice los siguientes pasos:
- Ejecute "oc edit configmap -n openshift-config acp-ingress-ca" en el administrador de ACP, cambie "|-" a "|" y guarde los cambios en Configmap.
- Reinicie los pods del componente Hypershift con el comando "oc delete pod -n hypershift --all".
- Una vez que los pods de hypershift estén listos, vuelva a intentar la configuración del clúster administrado por HCP.
Affected Products
APEX Cloud Platform for Red Hat OpenShiftArticle Properties
Article Number: 000226907
Article Type: Solution
Last Modified: 28 Aug 2024
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.