Dell APEX Cloud Platform for Red Hat OpenShift: 証明書検証エラーにより切断されたHCP管理対象クラスターを作成できない

管理者ガイドに従って切断されたHCP管理対象クラスターを作成すると、プロセスが失敗する場合があります。UIコンソールに「証明書の検証に失敗しました:x509:不明な認証局によって署名された証明書」というエラーが表示されます。

Dell APEX Cloud Platform for Red Hat OpenShift (ACP4OCP)クラスターには、次の2つのレジストリーが必要です。

1. OCPおよびACPマネージャー イメージを格納するためのACP4OCP Hubクラスター内のdepot-managerという名前の内部レジストリー。
2. 停電を処理するための外部レジストリー。

ACP4OCPクラスターは、acp-ingress-ca という ConfigMap に格納されている両方のレジストリーの証明書を信頼する必要があります。このConfigMapは、image.config.openshift.io リソースのadditionalTrustedCAとして設定されます

ただし、HCP が管理するクラスターのセットアップ中に、ACP4OCP のハイパーシフト コンポーネントは、image.config.openshift.io リソースの設定に基づいて独自の信頼できる CA を作成します。これを使用して、OpenShift Container Platform (OCP)リリース イメージを検証します。追加のTrustedCA構成に2つの証明書が含まれていて、区切り文字として「|-」を使用している場合、hypershiftは最初の証明書の後に改行を追加しません。これにより、両方の証明書が無効と見なされます

YAML 構文では、"|-" と "|" の両方が有効な区切り文字であり、複数行の文字列値を表すために使用されます。OCP Webコンソールから「キー/値」ConfigMapを作成または変更する場合は、「|-」がデフォルトの区切り文字として使用されます。

Configmapに区切り文字として「|-」が含まれているかどうかを確認するには、ACPマネージャーで次のコマンドを実行します。

• oc get configmap -n openshift-config acp-ingress-ca -o yaml

例：

証明書名と証明書キーの間の区切り文字を「|-」から「|」に変更するには、次の手順を実行します。

1. ACPマネージャーで「oc edit configmap -n openshift-config acp-ingress-ca」を実行し、「|-」を「|」に変更して、Configmapに変更を保存します。
2. コマンド「oc delete pod -n hypershift --all」を使用して、ハイパーシフト コンポーネントのポッドを再起動します。
3. ハイパーシフトポッドの準備ができたら、HCP で管理されるクラスターのセットアップを再試行します。