0 转 换为 1.1，将Custom 配置集的 TLS 1.3 转换为 1.2。 OpenShift Container Platform 路由器启用 Red Hat-distributed OpenSSL 默认集合 TLS 1.3 密码套件，它使用 TLS_AES_128_CCM_SHA256、 TLS_CHACHA20_POLY1305_SHA256、 TLS_AES_256_GCM_SHA384 使用 Custom 配置集时要谨慎，因为无效的配置 可能会导致问题。 注意 注意 OpenShift Container Platform 路由器启用 Red Hat- istributed OpenSSL 默认 TLS 1.3 密码套件集。您的集群 可能会接受 TLS 1.3 连接和密码套件，即使 OpenShift Container Platform 4.6、4.7 和 4.8 不支持 TLS 验证 要确认原始集群证书已被恢复，请输入以下命令： 其中： $ echo Q |\ openssl s_client -connect console-openshift-console.apps.:443 -showcerts 2>/dev/null |\ openssl x509 -noout -subject -issuer -enddate subject=C

openshift.io/v1 kind: OAuth metadata: name: cluster spec: identityProviders: - name: my_identity_provider 1 mappingMethod: claim 2 type: HTPasswd htpasswd: fileData: name: htpass-secret openshift.io/v1 kind: OAuth metadata: name: cluster spec: identityProviders: - name: my_htpasswd_provider 1 mappingMethod: claim 2 type: HTPasswd htpasswd: fileData: name: htpass-secret 您已创建了包含 htpasswd 用户文件的 Secret 对象。这里假定它名为 htpass-secret。 您已配置了 htpasswd 身份提供程序。这里假定它名为 my_htpasswd_provider。 您可以使用 htpasswd 工具程序。在 Red Hat Enterprise Linux 上，安装 httpd-tools 软件包即可 使用该实用程序。 您需要有集群管理员特权。

Container Platform 附带的证书，请输入以下命令： $ echo Q |\ openssl s_client -connect console-openshift-console.apps.:443 -showcerts 2>/dev/null |\ openssl x509 -noout -subject -issuer -enddate subject=C IngressController 扩展至 3 个副本： 输 输出示例 出示例 $ echo Q | \ openssl s_client -connect console-openshift-console.apps.:443 -showcerts 2>/dev/null | \ openssl x509 -noout -subject -issuer -enddate subject=CN com。 使用重新加密 TLS 终止和自定义证书，创建安全 Route 资源： 如果您检查生成的 Route 资源，它应该类似于如下： 安全路由 安全路由 YAML 定 定义 义 $ openssl rsa -in password_protected_tls.key -out tls.key $ oc create route reencrypt --service=frontend --cert=tls

ame":"custom-certs-default"}}}' $ echo Q |\ openssl s_client -connect console-openshift-console.apps.:443 -showcerts 2>/dev/null |\ openssl x509 -noout -subject -issuer -enddate subject=C path: /spec/defaultCertificate' $ echo Q | \ openssl s_client -connect console-openshift-console.apps.:443 -showcerts 2>/dev/null | \ openssl x509 -noout -subject -issuer -enddate 第 第 7 章 regex-domain-filter 标志。您可以使用 Regex 过滤器来限制可能的域。 定义 ExternalDNS 使用的 regex 模式来过滤目标区域的域。 参数 参数 描述 描述 spec: provider: type: AWS 1 aws: credentials: name: aws-access-key 2 zones: - "myzoneid"

Platform 4.2 中的所有命令。 下载并安装新版本的 oc。 流程 流程 1. 在 Red Hat OpenShift Cluster Manager 站点的 Infrastructure Provider 页面中导航至您的安装类 型页面，并点击 Download Command-line Tools。 2. 点您的操作系统和系统架构的文件夹，然后点压缩文件。 注意 注意 您可在 Linux 这些文件夹挂载到 registry 容器中。 3. 为 registry 提供证书。如果您没有现有的可信证书颁发机构，您可以生成自签名证书： $ cd /opt/registry/certs # openssl req -newkey rsa:4096 -nodes -sha256 -keyout domain.key -x509 -days 365 -out domain.crt 在提示符处，为证书提供所需的值： 的名字或服 务器主机 名） 输入 registry 主机的主机名。确保您的主机名在 DNS 中，并且解析为预期的 IP 地址。 电子邮件地 址 输入您的电子邮件地址。如需了解更多信息，请参阅 OpenSSL 文档中的 req 说明。 4. 为 registry 生成使用 bcrpt 格式的用户名和密码： # htpasswd -bBc /opt/registry/auth/htpasswd

EMS 或 TLS 1.3 的旧的 OpenSSL 客户端现在无法连接到运行在 RHEL 9 上的 FIPS 服务 器。同样，FIPS 模式下的 RHEL 9 客户端无法连接到只支持没有 EMS 的 TLS 1.2 服务器。在实践 中意味着这些客户端无法连接到 RHEL 6、RHEL 7 和非 RHEL 传统操作系统上的服务器。这是因 为传统的 OpenSSL 1.0.x 版本不支持 EMS 或 TLS 3。如需更多信息，请参阅 使用 Red Hat Enterprise Linux 9.2 强制执行的 TLS 扩展 "Extended Master Secret" 。 作为临时解决方案，将旧的 OpenSSL 客户端升级到支持 TLS 1.3 的版本，并将 OpenShift Virtualization 配置为使用 TLS 1.3，为 FIPS 模式使用 Modern TLS 安全配置集类型。 如果您通过编辑 READY STATUS RESTARTS AGE disks-images-provider-7gqbc 1/1 Running 0 32m disks-images-provider-vg4kx 1/1 Running 0 32m virt-api-57fcc4497b-7qfmc

1. 安装过程 安装 OpenShift Container Platform 集群时，您可以从 OpenShift Cluster Manager 站点的适当 Infrastructure Provider 页面下载安装程序。此网站管理以下内容： 帐户的 REST API registry 令牌，这是用于获取所需组件的 pull secret 集群注册，它将集群身份信息与您的红帽帐户相关联，以方便收集使用情况指标 OpenShift Container Platform 镜像存储库。 3.2.1. 先决条件 OpenShift Container Platform 订阅。 安装了 Podman 3.3 和 OpenSSL 的 Red Hat Enterprise Linux (RHEL) 8 和 9。 Red Hat Quay 服务的完全限定域名，它必须通过 DNS 服务器解析。 目标主机上的基于密钥的 SSH () 第 第 4 章 章 在 在 ALIBABA 上安装 上安装 73 1 1. 访问 OpenShift Cluster Manager 站点的 Infrastructure Provider 页面。如果您有红帽帐户，请使 用您的凭证登录。如果没有，请创建一个帐户。 2. 选择您的基础架构供应商。 3. 进入到安装类型的页面，下载与您的主机操作系统和架构对应的安装程序，并将该文件放在您要

Container Platform 镜像存储库。 4.2.1. 先决条件 OpenShift Container Platform 订阅。 安装了 Podman 3.4.2 或更高版本以及 OpenSSL 的 Red Hat Enterprise Linux (RHEL) 8 和 9。 Red Hat Quay 服务的完全限定域名，它必须通过 DNS 服务器解析。 目标主机上的基于密钥的 SSH 您有一台运行 Linux 或 macOS 的计算机，本地磁盘空间为 500 MB。 流程 流程 1. 访问 OpenShift Cluster Manager 站点的 Infrastructure Provider 页面。如果您有红帽帐户，请使 用您的凭证登录。如果没有，请创建一个帐户。 2. 选择您的基础架构供应商。 3. 进入到安装类型的页面，下载与您的主机操作系统和架构对应的安装程序，并将该文件放在您要 您有一台运行 Linux 或 macOS 的计算机，本地磁盘空间为 500 MB。 流程 流程 1. 访问 OpenShift Cluster Manager 站点的 Infrastructure Provider 页面。如果您有红帽帐户，请使 $ cat ~/.ssh/id_ed25519.pub $ eval "$(ssh-agent -s)" Agent pid 31874 $ ssh-add

1. 安装过程 安装 OpenShift Container Platform 集群时，您可以从 OpenShift Cluster Manager 站点的适当 Infrastructure Provider 页面下载安装程序。此网站管理以下内容： 帐户的 REST API registry 令牌，这是用于获取所需组件的 pull secret 集群注册，它将集群身份信息与您的红帽帐户相关联，以方便收集使用情况指标 OpenShift Container Platform 镜像存储库。 先决条件 先决条件 OpenShift Container Platform 订阅。 安装了 Podman 3.3 和 OpenSSL 的 Red Hat Enterprise Linux(RHEL)8。 Red Hat Quay 服务的完全限定域名，它必须通过 DNS 服务器解析。 目标主机上的免密码 sudo 访问。 运行 Linux 或 macOS 的计算机，本地磁盘空间为 500 MB 流程 流程 1. 访问 OpenShift Cluster Manager 站点的 Infrastructure Provider 页面。如果您有红帽帐号，请使 用自己的凭证登录。如果没有，请创建一个帐户。 2. 选择您的基础架构供应商。 3. 进入适用于您的安装类型的页面，下载您的操作系统的安装程序，并将文件放在要保存安装配置

Container Platform 镜像存储库。 4.2.1. 先决条件 OpenShift Container Platform 订阅。 安装了 Podman 3.4.2 或更高版本以及 OpenSSL 的 Red Hat Enterprise Linux (RHEL) 8 和 9。 Red Hat Quay 服务的完全限定域名，它必须通过 DNS 服务器解析。 目标主机上的基于密钥的 SSH 您有一台运行 Linux 或 macOS 的计算机，本地磁盘空间为 500 MB。 流程 流程 1. 访问 OpenShift Cluster Manager 站点的 Infrastructure Provider 页面。如果您有红帽帐户，请使 用您的凭证登录。如果没有，请创建一个帐户。 2. 选择您的基础架构供应商。 3. 进入到安装类型的页面，下载与您的主机操作系统和架构对应的安装程序，并将该文件放在您要 您有一台运行 Linux 或 macOS 的计算机，本地磁盘空间为 500 MB。 流程 流程 1. 访问 OpenShift Cluster Manager 站点的 Infrastructure Provider 页面。如果您有红帽帐户，请使 用您的凭证登录。如果没有，请创建一个帐户。 2. 选择您的基础架构供应商。 3. 进入到安装类型的页面，下载与您的主机操作系统和架构对应的安装程序，并将该文件放在您要