Satellite 组件的断开连接使用
IBM Cloud Satellite® 的某些功能可在临时断开连接时使用。 请参阅以下常见问题以了解这些组件的已断开连接的使用。
了解断开连接的使用情况
- 断开连接的使用意味着什么?
- 当 Satellite 位置和 Red Hat OpenShift on IBM Cloud 与 IBM Cloud中的父
managed-from区域断开连接时,它们仍可以在一定时间内运行,但存在一些限制。 断开连接使用的限制包括无安全修订和无警报。 有关更多信息,请参阅 按组件列出的已断开连接的使用情况。 - 如何设置我的访问令牌有效的时间长度?
- 编辑
accessTokenMaxAgeSeconds参数的值以设置令牌有效性 (以秒计)。 有关更多信息,请参阅 设置断开连接的使用时间。 - 令牌到期时会发生什么情况?
- 令牌到期后,您将失去使用该位置的能力。 运行命令时,会收到错误消息,例如
error: You must be logged in to the server (Unauthorized)。 要恢复,必须重新连接到“位置”,然后重新登录以检索新令牌。 在重新连接位置之前,请勿重新装入节点。 如果在“位置”断开连接时重新装入节点,那么该位置不会恢复。 - 我是否需要重新创建位置?
- 否,您不需要重新创建位置。 您可以重新连接现有位置并重新验证,以便继续使用该位置。
- 如何重新验证?
- 请先重新连接您的位置,然后使用您的凭证再次登录。
- 我是否必须恢复 etcd 备份?
- 如果您正在使用 RHCOS 主机,那么不需要恢复 etcd 备份。 重新连接并重新验证后,定位功能将自动恢复。 但是,使用 RHEL 的位置可能需要恢复 etcd。
- 如果某个位置的断开连接时间超过 7 天,会发生什么情况?
- 复原连接后,可能需要将该位置中的所有主机替换为新的基础结构。
- 如何知道何时重新连接位置?
- 您可以记录或设置提示,以便在 7-day 窗口到期之前重新连接位置。 计时器在您请求令牌时启动。
设置断开连接的使用时间
Satellite 位置和 Red Hat OpenShift on IBM Cloud 可与 IBM Cloud 中的父 managed-from 区域断开连接,最长可运行 168 小时 (7 天)。
您可以通过更改所有 OAuth 客户机的 accessTokenMaxAgeSeconds 值来修改此设置。 accessTokenMaxAgeSeconds 参数的缺省值为 86400 秒。
accessTokenMaxAgeSeconds 值在上次认证用户时开始计数,而不是在位置断开连接时开始计数。 请注意,用户必须有权访问 IAM 才能进行认证。
-
通过运行
oc get oauthclients获取 OAuth 客户机。示例输出
NAME SECRET WWW-CHALLENGE TOKEN-MAX-AGE REDIRECT URIS console OBXIvSxQx2t5ANYe5-xAEylpsbdytupjyjJicScdFsE false default https://console-openshift-console.sl-disc2b-be7d0adc45c89a3b4c1f8e7bc127f800-0000.eu-de.containers.appdomain.cloud/auth/callback openshift-browser-client Mohc6XH48KzDywCWf-oP2SaKbI70KL1O false default https://sb5041d7cf0af9630b92f-6b64a6ccc9c596bf59a86625d8fa2202-ce00.eu-de.satellite.appdomain.cloud:30048/oauth/token/display -
通过运行
oc get oauthaccesstokens获取 OAuth 访问令牌。 -
对于在步骤 1 中检索的每个 OAuth 客户机,通过运行
oc edit oauthclients console并将accessTokenMaxAgeSeconds: 604800添加为第一行来设置accessTokenMaxAgeSeconds值。 请注意,必须对所有 OAuth 客户机重复此步骤。 -
(可选) 运行
oc get oauthclients console -o yaml以检查 yaml 文件的第一行是否已更新为accessTokenMaxAgeSeconds: 604800。 -
通过运行
ibmcloud ks cluster master refresh --cluster CLUSTERID来刷新集群以使更改生效。 -
运行以下命令以验证是否为 OAuth 客户机更新了
accessTokenMaxAgeSeconds值。oc get oauthclients -o json | jq -j '.items[]|"Name:\t", .metadata.name, "\t", "value:\t", .accessTokenMaxAgeSeconds, "\n"'
按组件列出的断开连接使用情况
下表说明了当您的位置正在断开连接时不同组件的行为和限制。
集群管理
| 功能 | 已连接的行为 | 已断开连接的行为 | 最大断开连接容差 |
|---|---|---|---|
| 创建集群 | 您可以从 CLI 和控制台创建集群。 | 无法创建集群。 | 不适用 |
| 更新集群 | 您可以从 CLI 和控制台更新集群。 | 无法更新集群。 | 不适用 |
| 除去集群 | 您可以从 CLI 和控制台中除去集群。 | 无法除去集群。 | 不适用 |
| 查看状态 | 您可以从 CLI 和控制台查看集群状态。 | 无法查看集群状态。 | 不适用 |
| 添加或除去节点 | 您可以从 CLI 和控制台中除去或添加节点。 | 不能除去或添加节点。 | 不适用 |
| 自动缩放集群 | 自动缩放由集群自动缩放器附加组件管理。 | 集群无法自动缩放。 | 不适用 |
应用程序
| 功能 | 已连接的行为 | 已断开连接的行为 | 最大断开连接容差 |
|---|---|---|---|
| 部署 | 您可以使用首选方法 (例如,kubectl 命令行,OpenShift 控制台,CI/CD 管道和 Sat 配置) 来部署应用程序。 |
您可以使用 Kubernetes API 在断开连接时部署应用程序。 | 等于上次认证的 accessTokenMaxAgeSeconds 值 |
| 除去 | 您可以使用首选方法 (例如,kubectl 命令行,OpenShift 控制台,CI/CD 管道和 Sat 配置) 来除去应用程序。 |
您可以使用 Kubernetes API 在断开连接时除去应用程序。 | 等于上次认证的 accessTokenMaxAgeSeconds 值 |
| 缩放 | 您可以使用首选方法 (例如,kubectl 命令行,OpenShift 控制台,CI/CD 管道和 Sat 配置) 来缩放应用程序。 |
您可以使用 Kubernetes API 在断开连接时扩展应用程序。 | 等于上次认证的 accessTokenMaxAgeSeconds 值 |
IBM Cloud 目录
| 功能 | 已连接的行为 | 已断开连接的行为 | 最大断开连接容差 |
|---|---|---|---|
| 管理 IBM Cloud 目录中的资源 | 搜索和部署目录中的资源。 | 无法从目录中搜索和部署资源。 | 零 |
身份和访问权管理
| 功能 | 已连接的行为 | 已断开连接的行为 | 最大断开连接容差 |
|---|---|---|---|
| 授权 | 使用 IAM 定义用户访问角色 | 您无法管理用户访问权 | N/A |
| 验证 | 使用IAM验证至 IBM Cloud | 无法重新验证 | 不适用 |
私钥管理
| 功能 | 已连接的行为 | 已断开连接的行为 | 最大断开连接容差 |
|---|---|---|---|
| 使用 Secret Manager 进行私钥和密钥管理 | 您可以将 Secret Manager 用于私钥。 | Secrets Manager 不可用 | N/A |
日志记录和监视
| 功能 | 已连接的行为 | 已断开连接的行为 | 最大断开连接容差 |
|---|---|---|---|
| 使用 IBM Cloud Activity Tracker 的应用程序审计和访问日志记录 | N/A | N/A | |
| 使用 IBM Cloud Monitoring 进行应用程序监视 | N/A | N/A | N/A |
| 使用其他提供程序的应用程序日志记录 | 您可以使用第三方日志记录工具。 | 您可以使用第三方日志记录工具。 | 等于上次认证的 accessTokenMaxAgeSeconds |
| 使用其他提供程序的系统或 Kubernetes 日志记录 | 您可以使用第三方日志记录工具。 | 您可以使用第三方日志记录工具。 | 等于上次认证的 accessTokenMaxAgeSeconds |
| 针对度量的警报规则和页面调度 | 您可以在 IBM Cloud Monitoring中设置警报。 | 不会触发警报。 | 不适用 |
配置管理
| 功能 | 已连接的行为 | 已断开连接的行为 | 最大断开连接容差 |
|---|---|---|---|
| Satellite 配置 | 您可以使用 Satellite 配置来创建和管理配置。 | 无法使用 Satellite 配置来创建和管理配置。 | 不适用 |
| Satellite 存储配置 | 您可以使用 Satellite 存储配置来创建和管理配置。 | 无法使用 Satellite 存储配置来创建和管理配置。 | 不适用 |
网络
| 功能 | 已连接的行为 | 已断开连接的行为 | 最大断开连接容差 |
|---|---|---|---|
| 部署或更新策略 Satellite Service Mesh | 您可以使用 CLI 和控制台来部署或更新策略。 | 您可以使用 kubectl 命令来部署和更新策略。 |
等于上次认证的 accessTokenMaxAgeSeconds 值 |