Dell APEX Cloud Platform для Red Hat OpenShift: Не удается создать отключенные кластеры, управляемые HCP, из-за ошибок проверки сертификатов
Summary: Не удалось создать отключенные кластеры, управляемые размещенной плоскостью управления (HCP), из-за ошибки «Не удалось проверить сертификат: x509: сертификат, подписанный неизвестным центром». ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
При создании отключенного кластера, управляемого HCP, следуя инструкциям администратора, процесс может завершиться сбоем. В консоли пользовательского интерфейса отобразится ошибка «Не удалось проверить сертификат: x509: сертификат, подписанный неизвестным центром».
Cause
В кластере Dell APEX Cloud Platform для Red Hat OpenShift (ACP4OCP) требуются два реестра:
Однако во время настройки кластера, управляемого HCP, компонент гиперсдвига ACP4OCP создает собственный доверенный CA на основе параметров ресурса image.config.openshift.io. Эта функция используется для проверки образа выпуска OpenShift Container Platform (OCP). Если конфигурация additionalTrustedCA включает два сертификата и использует "|-" в качестве разделителя, hypershift не добавляет разрыв строки после первого сертификата. В результате оба сертификата считаются недействительными.
В синтаксисе YAML "|-" и "|" являются допустимыми разделителями, которые используются для представления многострочных строковых значений. При создании или изменении конфигурации "ключ/значение" из веб-консоли OCP в качестве разделителя по умолчанию будет использоваться "|-".
Чтобы проверить, содержит ли Configmap символ «|-» в качестве разделителя, выполните следующую команду в диспетчере ACP:
- Внутренний реестр с именем depot-manager в кластере концентратора ACP4OCP для хранения образов OCP и ACP Manager.
- Внешний реестр на случай перебоев в подаче электроэнергии.
Однако во время настройки кластера, управляемого HCP, компонент гиперсдвига ACP4OCP создает собственный доверенный CA на основе параметров ресурса image.config.openshift.io. Эта функция используется для проверки образа выпуска OpenShift Container Platform (OCP). Если конфигурация additionalTrustedCA включает два сертификата и использует "|-" в качестве разделителя, hypershift не добавляет разрыв строки после первого сертификата. В результате оба сертификата считаются недействительными.
В синтаксисе YAML "|-" и "|" являются допустимыми разделителями, которые используются для представления многострочных строковых значений. При создании или изменении конфигурации "ключ/значение" из веб-консоли OCP в качестве разделителя по умолчанию будет использоваться "|-".
Чтобы проверить, содержит ли Configmap символ «|-» в качестве разделителя, выполните следующую команду в диспетчере ACP:
-
oc get configmap -n openshift-config acp-ingress-ca -o yaml
Resolution
Чтобы изменить разделитель между именем сертификата и ключом сертификата с «|-» на «|», выполните следующие действия:
- Выполните команду «oc edit configmap -n openshift-config acp-ingress-ca» в диспетчере ACP, измените «|-» на «|» и сохраните изменения в Configmap.
- Перезапустите модули компонентов hypershift с помощью команды «oc delete pod -n hypershift --all».
- После того как модули Hypershift будут готовы, повторите попытку настройки кластера, управляемого HCP.
Affected Products
APEX Cloud Platform for Red Hat OpenShiftArticle Properties
Article Number: 000226907
Article Type: Solution
Last Modified: 28 Aug 2024
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.