负载 负载均衡器 均衡器：提供一个通用端点，供用户（包括人和机器）与平台交互和配置。配置以下条 件： 只适用于第 4 层负载均衡。这可被称为 Raw TCP、SSL Passthrough 或者 SSL 桥接模式。如 果使用 SSL Bridge 模式，必须为 API 路由启用 Server Name Indication（SNI）。 无状态负载平衡算法。这些选项根据负载均衡器的实现而有所不同。 用程序入口负载 负载均衡器 均衡器:提供来自集群外部的应用程序流量流量的 Ingress 点。配置以下条件： 只适用于第 4 层负载均衡。这可被称为 Raw TCP、SSL Passthrough 或者 SSL 桥接模式。如 果使用 SSL Bridge 模式，您必须为 Ingress 路由启用Server Name Indication（SNI）。 建议根据可用选项以及平台上托管的应用程序类型，使用基于连接的或者基于会话的持久 负载 负载均衡器 均衡器：提供一个通用端点，供用户（包括人和机器）与平台交互和配置。配置以下条 件： 只适用于第 4 层负载均衡。这可被称为 Raw TCP、SSL Passthrough 或者 SSL 桥接模式。如 果使用 SSL Bridge 模式，必须为 API 路由启用 Server Name Indication（SNI）。 无状态负载平衡算法。这些选项根据负载均衡器的实现而有所不同。

1. API 负载均衡器：提供一个通用端点，供用户（包括人和机器）与平台交互和配置。配置以下条 件： 只适用于第 4 层负载均衡。这可被称为 Raw TCP、SSL Passthrough 或者 SSL 桥接模式。如 果使用 SSL Bridge 模式，必须为 API 路由启用 Server Name Indication（SNI）。 无状态负载平衡算法。这些选项根据负载均衡器的实现而有所不同。 2. 应用程序入口负载均衡器:提供来自集群外部的应用程序流量流量的 Ingress 点。配置以下条件： 只适用于第 4 层负载均衡。这可被称为 Raw TCP、SSL Passthrough 或者 SSL 桥接模式。如 果使用 SSL Bridge 模式，您必须为 Ingress 路由启用Server Name Indication（SNI）。 建议根据可用选项以及平台上托管的应用程序类型，使用基于连接的或者基于会话的持久 1. API 负载均衡器：提供一个通用端点，供用户（包括人和机器）与平台交互和配置。配置以下条 件： 只适用于第 4 层负载均衡。这可被称为 Raw TCP、SSL Passthrough 或者 SSL 桥接模式。如 果使用 SSL Bridge 模式，必须为 API 路由启用 Server Name Indication（SNI）。 无状态负载平衡算法。这些选项根据负载均衡器的实现而有所不同。

运行以下命令，使用安装期间生成的用户名和密码登录 registry： 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 注意 注意 $ sudo ./mirror-registry install \ --quayHostname 运行以下命令，使用安装期间生成的用户名和密码登录镜像 registry： 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 $ sudo ./mirror-registry install -v \ --targetHostname ssh/quay_installer。 --sslCert SSL/TLS 公钥/证书的路径。默认为 {quayRoot}/quay-config，并在未指定时 自动生成。 --sslCheckSkip 跳过对 config.yaml 文件中的 SERVER_HOSTNAME 的检查证书主机名。[2] --sslKey 用于 HTTPS 通信的 SSL/TLS 私钥路径。默认为 {quayRoot}/quay-config，并

运行以下命令，使用安装期间生成的用户名和密码登录 registry： 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 注意 注意 $ sudo ./mirror-registry install \ --quayHostname 运行以下命令，使用安装期间生成的用户名和密码登录镜像 registry： 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 $ sudo ./mirror-registry install -v \ --targetHostname ssh/quay_installer。 --sslCert SSL/TLS 公钥/证书的路径。默认为 {quayRoot}/quay-config，并在未指定时 自动生成。 --sslCheckSkip 跳过对 config.yaml 文件中的 SERVER_HOSTNAME 的检查证书主机名。[2] --sslKey 用于 HTTPS 通信的 SSL/TLS 私钥路径。默认为 {quayRoot}/quay-config，并

运行以下命令，使用安装期间生成的用户名和密码登录 registry： 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 注意 注意 您还可以在安装后通过 https://:8443 访问 UI 登录。 断开 断开连 连接的安装 接的安装镜 镜像 像 23 1 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 注意 注意 您还可以在安装后通过 https://:8443 访问 UI 登录。 ssh/quay_installer。 --sslCert SSL/TLS 公钥/证书的路径。默认为 {quayRoot}/quay-config，并在未指定时 自动生成。 --sslCheckSkip 跳过对 config.yaml 文件中的 SERVER_HOSTNAME 的检查证书主机名。[2] --sslKey 用于 HTTPS 通信的 SSL/TLS 私钥路径。默认为 {quayRoot}/quay-config，并

建输 输入 入 11 构建器 pod 需要访问定义为构建源的任何 Git 存储库。源克隆 secret 为构建器 pod 提供了通常无权访问 的资源的访问权限，例如私有存储库或具有自签名或不可信 SSL 证书的存储库。 支持以下源克隆 secret 配置。 .gitconfig 文件 基本身份验证 SSH 密钥身份验证 可信证书颁发机构 注意 注意 您还可以组合使用这些配置来满足特定的需求。 [http] sslVerify=false 3.4.2.4. 从 从 .gitconfig 文件 文件为安全 安全 Git 创建 建 secret 如果 Git 服务器使用双向 SSL 和用户名加密码进行保护，您必须将证书文件添加到源构建中，并在 .gitconfig 文件中添加对证书文件的引用。 先决条件 先决条件 Git 凭证 流程 流程 将证书文件添加到源构建中，并在 如果为 CA 证书 证书创建 secret，OpenShift Container Platform 会在 git clone 操作期间使用它来访问您的 Git 服务器。使用此方法比禁用 Git 的 SSL 验证要安全得多，后者接受所出示的任何 TLS 证书。 流程 流程 使用 CA 证书文件创建 secret。 a. 如果您的 CA 使用中间证书颁发机构，请合并 ca.crt 文件中所有 CA

CI/CD 10 构建器 pod 需要访问定义为构建源的任何 Git 存储库。源克隆 secret 为构建器 pod 提供了通常无权访问 的资源的访问权限，例如私有存储库或具有自签名或不可信 SSL 证书的存储库。 支持以下源克隆 secret 配置： .gitconfig 文件 基本身份验证 SSH 密钥身份验证 可信证书颁发机构 注意 注意 您还可以组合使用这些配置来满足特定的需求。 sslVerify=false，则可以关闭 iVSSL 验证： 2.3.4.2.4. 从 从 .gitconfig 文件 文件为 为安全 安全 Git 创 创建 建 secret 如果 Git 服务器使用双向 SSL 和用户名加密码进行保护，您必须将证书文件添加到源构建中，并在 .gitconfig 文件中添加对证书文件的引用。 先决条件 先决条件 您必须具有 Git 凭证。 流程 流程 将证书文件添加到源构建中，并在 验证。 如果您为 CA 证书创建 secret，OpenShift Container Platform 会在 Git 克隆操作过程中使用它来访问您 的 Git 服务器。使用此方法比禁用 Git 的 SSL 验证要安全得多，后者接受所出示的任何 TLS 证书。 流程 流程 使用 CA 证书文件创建 secret。 $ ssh-keygen -t ed25519 -C "your_email@example

运行以下命令，使用安装期间生成的用户名和密码登录 registry： 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 注意 注意 您还可以在安装后通过 https://:8443 访问 UI 登录。 运行以下命令，使用安装期间生成的用户名和密码登录 到镜像的 registry： 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 注意 注意 您还可以在安装后通过 https://:8443 访问 UI 登录。 该字符串来正确地升级镜像 registry。 4.2.7. 替换 mirror registry for Red Hat OpenShift SSL/TLS 证书 在某些情况下，您可能想要为 mirror registry for Red Hat OpenShift 更新 SSL/TLS 证书。这在以下情况 中很有用： 如果您需要替换当前的 mirror registry for Red Hat OpenShift

运行以下命令，使用安装期间生成的用户名和密码登录 registry： 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 注意 注意 您还可以在安装后通过 https://:8443 访问 UI 登录。 运行以下命令，使用安装期间生成的用户名和密码登录 到镜像的 registry： 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 注意 注意 您还可以在安装后通过 https://:8443 访问 UI 登录。 该字符串来正确地升级镜像 registry。 4.2.7. 替换 mirror registry for Red Hat OpenShift SSL/TLS 证书 在某些情况下，您可能想要为 mirror registry for Red Hat OpenShift 更新 SSL/TLS 证书。这在以下情况 中很有用： 如果您需要替换当前的 mirror registry for Red Hat OpenShift

流程 输入以下命令将镜像流设置为定期更新清单列表： 6.8.2.2. 导入清 入清单列表 列表时配置 配置 SSL/TSL 要在导入清单列表时配置 SSL/TSL，您可以使用 --insecure 标志。 流程 流程 设置 --insecure=true，以便导入清单列表跳过 SSL/TSL 验证。例如： 6.8.3. 为 --import-mode 指定架构 您可以通过排除或包含 --import-mode= 自定义资源（CR）来添加不安全的 registry 及 registry 中的特定存储库（可选）。OpenShift Container Platform 会将对此 CR 的更改应用到集群中的所 有节点。 没有使用有效 SSL 证书或不需要 HTTPS 连接的 registry 被视为是不安全的 registry。 警告 警告 应避免使用不安全的外部 registry，以减少可能的安全性风险。 流程 流程 编辑 image