Platforma chmurowa Dell APEX dla rodziny Red Hat OpenShift: Nie można utworzyć rozłączonych klastrów zarządzanych przez HCP z powodu błędów weryfikacji certyfikatu
Summary: Tworzenie rozłączonych klastrów zarządzanych przez hostowaną płaszczyznę sterowania (HCP) nie powiodło się z powodu błędu "Nie udało się zweryfikować certyfikatu: x509: certyfikat podpisany przez nieznany urząd". ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
W przypadku tworzenia odłączonego klastra zarządzanego przez HCP zgodnie z podręcznikiem administratora proces ten może zakończyć się niepowodzeniem. Konsola interfejsu użytkownika wyświetli błąd "Nie udało się zweryfikować certyfikatu: x509: certyfikat podpisany przez nieznany organ".
Cause
W klastrze Dell APEX Cloud Platform dla Red Hat OpenShift (ACP4OCP) wymagane są dwa rejestry:
Jednak podczas konfiguracji klastra zarządzanego przez HCP składnik hypershift ACP4OCP tworzy własny zaufany urząd certyfikacji na podstawie ustawień zasobu image.config.openshift.io. Wykorzystuje to do weryfikacji obrazu wydania OpenShift Container Platform (OCP). Jeśli konfiguracja additionalTrustedCA obejmuje dwa certyfikaty i używa "|-" jako ogranicznika, funkcja hypershift nie dodaje podziału wiersza po pierwszym certyfikacie. Powoduje to, że oba certyfikaty zostaną uznane za nieważne.
W składni YAML zarówno "|-", jak i "|" są prawidłowymi ogranicznikami, które są używane do reprezentowania wartości ciągu wielowierszowego. Podczas tworzenia lub modyfikowania ConfigMap "klucz/wartość" z poziomu konsoli sieci Web OCP jako domyślny ogranicznik
zostanie użyty znak "|-".Aby sprawdzić, czy Configmap zawiera ogranicznik "|-", uruchom następujące polecenie w menedżerze ACP:
- Wewnętrzny rejestr o nazwie depot-manager w klastrze ACP4OCP Hub do przechowywania obrazów menedżerów OCP i ACP.
- Zewnętrzny rejestr do obsługi przerw w dostawie prądu.
Jednak podczas konfiguracji klastra zarządzanego przez HCP składnik hypershift ACP4OCP tworzy własny zaufany urząd certyfikacji na podstawie ustawień zasobu image.config.openshift.io. Wykorzystuje to do weryfikacji obrazu wydania OpenShift Container Platform (OCP). Jeśli konfiguracja additionalTrustedCA obejmuje dwa certyfikaty i używa "|-" jako ogranicznika, funkcja hypershift nie dodaje podziału wiersza po pierwszym certyfikacie. Powoduje to, że oba certyfikaty zostaną uznane za nieważne.
W składni YAML zarówno "|-", jak i "|" są prawidłowymi ogranicznikami, które są używane do reprezentowania wartości ciągu wielowierszowego. Podczas tworzenia lub modyfikowania ConfigMap "klucz/wartość" z poziomu konsoli sieci Web OCP jako domyślny ogranicznik
zostanie użyty znak "|-".Aby sprawdzić, czy Configmap zawiera ogranicznik "|-", uruchom następujące polecenie w menedżerze ACP:
-
oc get configmap -n openshift-config acp-ingress-ca -o yaml
Resolution
Aby zmienić ogranicznik między nazwą certyfikatu a kluczem certyfikatu z "|-" na "|", wykonaj następujące czynności:
- Uruchom polecenie "oc edit configmap -n openshift-config acp-ingress-ca" w menedżerze ACP, zmień wartość "|-" na "|" i zapisz zmiany w pliku Configmap.
- Uruchom ponownie zasobniki komponentu hypershift za pomocą polecenia "oc delete pod -n hypershift --all".
- Gdy zasobniki hiperzmiany będą gotowe, ponów próbę konfiguracji klastra zarządzanego przez HCP.
Affected Products
APEX Cloud Platform for Red Hat OpenShiftArticle Properties
Article Number: 000226907
Article Type: Solution
Last Modified: 28 Aug 2024
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.