Dell APEX Cloud Platform voor Red Hat OpenShift: Kan geen losgekoppelde door HCP's beheerde clusters maken vanwege fouten in de certificaatverificatie
Summary: Niet-verbonden door door HCP beheerde clusters (Hosted Control Plane) maken, mislukt vanwege foutmelding "failed to verify certificate: x509: certificate signed by unknown authority."
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Wanneer u de beheerdershandleiding volgt om een niet-verbonden door HCP beheerd cluster te maken, kan het proces mislukken. De UI-console geeft de foutmelding "failed to verify certificate: x509: certificate signed by unknown authority" weer.
Cause
In een Dell APEX Cloud Platform voor Red Hat OpenShift (ACP4OCP) cluster zijn twee registers vereist:
Tijdens de installatie van het door de HCP beheerde cluster maakt de hypershift-component van de ACP4OCP echter zijn eigen vertrouwde CA op basis van de instellingen van de image.config.openshift.io resource. Het gebruikt dit om de release-image van het OpenShift Container Platform (OCP) te verifiëren. Als de additionalTrustedCA-configuratie twee certificaten bevat en "|-" als scheidingsteken gebruikt, voegt hypershift geen regeleinde toe na het eerste certificaat. Dit zorgt ervoor dat beide certificaten als ongeldig worden beschouwd.
In de YAML-syntaxis zijn zowel "|-" als "|" geldige scheidingstekens, die worden gebruikt om tekenreekswaarden met meerdere regels weer te geven. Bij het maken of wijzigen van een "sleutel/waarde" ConfigMap vanuit de OCP-webconsole, wordt "|-" gebruikt als het standaardscheidingsteken.
Om te controleren of de Configmap "|-" als scheidingsteken bevat, voert u de volgende opdracht uit op de ACP Manager:
- Een intern register met de naam depot-manager binnen het ACP4OCP Hub-cluster voor het opslaan van OCP- en ACP Manager-images.
- Een extern register voor het afhandelen van stroomstoringen.
Tijdens de installatie van het door de HCP beheerde cluster maakt de hypershift-component van de ACP4OCP echter zijn eigen vertrouwde CA op basis van de instellingen van de image.config.openshift.io resource. Het gebruikt dit om de release-image van het OpenShift Container Platform (OCP) te verifiëren. Als de additionalTrustedCA-configuratie twee certificaten bevat en "|-" als scheidingsteken gebruikt, voegt hypershift geen regeleinde toe na het eerste certificaat. Dit zorgt ervoor dat beide certificaten als ongeldig worden beschouwd.
In de YAML-syntaxis zijn zowel "|-" als "|" geldige scheidingstekens, die worden gebruikt om tekenreekswaarden met meerdere regels weer te geven. Bij het maken of wijzigen van een "sleutel/waarde" ConfigMap vanuit de OCP-webconsole, wordt "|-" gebruikt als het standaardscheidingsteken.
Om te controleren of de Configmap "|-" als scheidingsteken bevat, voert u de volgende opdracht uit op de ACP Manager:
-
oc get configmap -n openshift-config acp-ingress-ca -o yaml
Resolution
Voer de volgende stappen uit om het scheidingsteken tussen de certificaatnaam en de certificaatsleutel te wijzigen van "|-" in "|":
- Voer "oc edit configmap -n openshift-config acp-ingress-ca" uit in de ACP Manager, wijzig "|-" in "|" en sla de wijzigingen op in de Configmap.
- Start de hypershift component pods opnieuw met de opdracht "oc delete pod -n hypershift --all".
- Nadat hypershift-pods gereed zijn, probeert u de door HCP beheerde cluster opnieuw in te stellen.
Affected Products
APEX Cloud Platform for Red Hat OpenShiftArticle Properties
Article Number: 000226907
Article Type: Solution
Last Modified: 28 Aug 2024
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.