適用 Red Hat OpenShift 的 Dell APEX Cloud Platform:由於憑證驗證錯誤,無法建立中斷連線的 HCP 管理叢集
Summary: 建立斷開連接的託管控制平面 (HCP) 託管群集失敗,因為出現錯誤“無法驗證證書:x509:由未知頒發機構簽名的證書”。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
依照管理員指南建立已中斷連線的 HCP 管理叢集時,此程序可能會失敗。UI 主控台會顯示錯誤「無法驗證憑證:x509:憑證由未知授權單位簽署」。
Cause
在適用 Red Hat OpenShift (ACP4OCP) 的 Dell APEX Cloud Platform 叢集中,需要兩個登錄檔:
但是,在 HCP 託管的群集設置期間,ACP4OCP的超移元件會根據 image.config.openshift.io 資源的設置創建自己的 TrustedCA。它會使用這個來驗證 OpenShift 容器平台 (OCP) 版本映像。如果額外的 TrustedCA 組態包含兩個憑證,並使用「|-」作為分隔符號,則 Hypershift 不會在第一個憑證後新增換行符。這會導致兩個憑證均被視為無效。
在 YAML 語法中,“|-”和“|”都是有效的分隔符,用於表示多行字串值。從 OCP Web 主控台建立或修改「鍵/值」ConfigMap 時,「|-」會作為預設分隔符號。
若要檢查 Configmap 是否包含「|-」作為分隔符號,請在 ACP 管理員上執行下列命令:
- ACP4OCP中心群集中名為 depot-manager 的內部註冊表,用於存儲 OCP 和 ACP 管理器映像。
- 用於處理電源中斷的外部註冊表。
但是,在 HCP 託管的群集設置期間,ACP4OCP的超移元件會根據 image.config.openshift.io 資源的設置創建自己的 TrustedCA。它會使用這個來驗證 OpenShift 容器平台 (OCP) 版本映像。如果額外的 TrustedCA 組態包含兩個憑證,並使用「|-」作為分隔符號,則 Hypershift 不會在第一個憑證後新增換行符。這會導致兩個憑證均被視為無效。
在 YAML 語法中,“|-”和“|”都是有效的分隔符,用於表示多行字串值。從 OCP Web 主控台建立或修改「鍵/值」ConfigMap 時,「|-」會作為預設分隔符號。
若要檢查 Configmap 是否包含「|-」作為分隔符號,請在 ACP 管理員上執行下列命令:
-
oc get configmap -n openshift-config acp-ingress-ca -o yaml
Resolution
若要將憑證名稱和憑證金鑰之間的分隔符號從「|-」變更為「|」,請執行下列步驟:
- 在 ACP 管理員上執行「oc edit configmap -n openshift-config acp-ingress-ca」,將「|-」變更為「|」,然後將變更儲存在 Configmap 中。
- 使用命令「oc delete pod -n hypershift --all」重新啟動超移元件 pod。
- 超移 Pod 準備就緒後,重試 HCP 管理的叢集安裝。
Affected Products
APEX Cloud Platform for Red Hat OpenShiftArticle Properties
Article Number: 000226907
Article Type: Solution
Last Modified: 28 Aug 2024
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.