IBM Cloud Docs
Satellite 组件的断开连接使用

Satellite 组件的断开连接使用

IBM Cloud Satellite® 的某些功能可在临时断开连接时使用。 请参阅以下常见问题以了解这些组件的已断开连接的使用。

了解断开连接的使用情况

断开连接的使用意味着什么?
当 Satellite 位置和 Red Hat OpenShift on IBM Cloud 与 IBM Cloud中的父 managed-from 区域断开连接时,它们仍可以在一定时间内运行,但存在一些限制。 断开连接使用的限制包括无安全修订和无警报。 有关更多信息,请参阅 按组件列出的已断开连接的使用情况
如何设置我的访问令牌有效的时间长度?
编辑 accessTokenMaxAgeSeconds 参数的值以设置令牌有效性 (以秒计)。 有关更多信息,请参阅 设置断开连接的使用时间
令牌到期时会发生什么情况?
令牌到期后,您将失去使用该位置的能力。 运行命令时,会收到错误消息,例如 error: You must be logged in to the server (Unauthorized)。 要恢复,必须重新连接到“位置”,然后重新登录以检索新令牌。 在重新连接位置之前,请勿重新装入节点。 如果在“位置”断开连接时重新装入节点,那么该位置不会恢复。
我是否需要重新创建位置?
否,您不需要重新创建位置。 您可以重新连接现有位置并重新验证,以便继续使用该位置。
如何重新验证?
请先重新连接您的位置,然后使用您的凭证再次登录。
我是否必须恢复 etcd 备份?
如果您正在使用 RHCOS 主机,那么不需要恢复 etcd 备份。 重新连接并重新验证后,定位功能将自动恢复。 但是,使用 RHEL 的位置可能需要恢复 etcd。
如果某个位置的断开连接时间超过 7 天,会发生什么情况?
复原连接后,可能需要将该位置中的所有主机替换为新的基础结构。
如何知道何时重新连接位置?
您可以记录或设置提示,以便在 7-day 窗口到期之前重新连接位置。 计时器在您请求令牌时启动。

设置断开连接的使用时间

Satellite 位置和 Red Hat OpenShift on IBM Cloud 可与 IBM Cloud 中的父 managed-from 区域断开连接,最长可运行 168 小时 (7 天)。

您可以通过更改所有 OAuth 客户机的 accessTokenMaxAgeSeconds 值来修改此设置。 accessTokenMaxAgeSeconds 参数的缺省值为 86400 秒。

accessTokenMaxAgeSeconds 值在上次认证用户时开始计数,而不是在位置断开连接时开始计数。 请注意,用户必须有权访问 IAM 才能进行认证。

  1. 通过运行 oc get oauthclients 获取 OAuth 客户机。

    示例输出

    NAME                           SECRET                                        WWW-CHALLENGE   TOKEN-MAX-AGE   REDIRECT URIS
    console                        OBXIvSxQx2t5ANYe5-xAEylpsbdytupjyjJicScdFsE   false           default         https://console-openshift-console.sl-disc2b-be7d0adc45c89a3b4c1f8e7bc127f800-0000.eu-de.containers.appdomain.cloud/auth/callback
    openshift-browser-client       Mohc6XH48KzDywCWf-oP2SaKbI70KL1O              false           default         https://sb5041d7cf0af9630b92f-6b64a6ccc9c596bf59a86625d8fa2202-ce00.eu-de.satellite.appdomain.cloud:30048/oauth/token/display
    
  2. 通过运行 oc get oauthaccesstokens 获取 OAuth 访问令牌。

  3. 对于在步骤 1 中检索的每个 OAuth 客户机,通过运行 oc edit oauthclients console 并将 accessTokenMaxAgeSeconds: 604800 添加为第一行来设置 accessTokenMaxAgeSeconds 值。 请注意,必须对所有 OAuth 客户机重复此步骤。

  4. (可选) 运行 oc get oauthclients console -o yaml 以检查 yaml 文件的第一行是否已更新为 accessTokenMaxAgeSeconds: 604800

  5. 通过运行 ibmcloud ks cluster master refresh --cluster CLUSTERID 来刷新集群以使更改生效。

  6. 运行以下命令以验证是否为 OAuth 客户机更新了 accessTokenMaxAgeSeconds 值。

    oc get oauthclients -o json | jq -j '.items[]|"Name:\t", .metadata.name, "\t", "value:\t", .accessTokenMaxAgeSeconds, "\n"'
    

按组件列出的断开连接使用情况

下表说明了当您的位置正在断开连接时不同组件的行为和限制。

集群管理

已断开连接的集群管理
功能 已连接的行为 已断开连接的行为 最大断开连接容差
创建集群 您可以从 CLI 和控制台创建集群。 无法创建集群。 不适用
更新集群 您可以从 CLI 和控制台更新集群。 无法更新集群。 不适用
除去集群 您可以从 CLI 和控制台中除去集群。 无法除去集群。 不适用
查看状态 您可以从 CLI 和控制台查看集群状态。 无法查看集群状态。 不适用
添加或除去节点 您可以从 CLI 和控制台中除去或添加节点。 不能除去或添加节点。 不适用
自动缩放集群 自动缩放由集群自动缩放器附加组件管理。 集群无法自动缩放。 不适用

应用程序

已断开连接的应用程序管理
功能 已连接的行为 已断开连接的行为 最大断开连接容差
部署 您可以使用首选方法 (例如,kubectl 命令行,OpenShift 控制台,CI/CD 管道和 Sat 配置) 来部署应用程序。 您可以使用 Kubernetes API 在断开连接时部署应用程序。 等于上次认证的 accessTokenMaxAgeSeconds
除去 您可以使用首选方法 (例如,kubectl 命令行,OpenShift 控制台,CI/CD 管道和 Sat 配置) 来除去应用程序。 您可以使用 Kubernetes API 在断开连接时除去应用程序。 等于上次认证的 accessTokenMaxAgeSeconds
缩放 您可以使用首选方法 (例如,kubectl 命令行,OpenShift 控制台,CI/CD 管道和 Sat 配置) 来缩放应用程序。 您可以使用 Kubernetes API 在断开连接时扩展应用程序。 等于上次认证的 accessTokenMaxAgeSeconds

IBM Cloud 目录

断开连接的云目录管理
功能 已连接的行为 已断开连接的行为 最大断开连接容差
管理 IBM Cloud 目录中的资源 搜索和部署目录中的资源。 无法从目录中搜索和部署资源。

身份和访问权管理

断开连接的身份和访问权管理
功能 已连接的行为 已断开连接的行为 最大断开连接容差
授权 使用 IAM 定义用户访问角色 您无法管理用户访问权 N/A
验证 使用IAM验证至 IBM Cloud 无法重新验证 不适用

私钥管理

断开连接的私钥管理
功能 已连接的行为 已断开连接的行为 最大断开连接容差
使用 Secret Manager 进行私钥和密钥管理 您可以将 Secret Manager 用于私钥。 Secrets Manager 不可用 N/A

日志记录和监视

已断开连接的日志记录和监视
功能 已连接的行为 已断开连接的行为 最大断开连接容差
使用 IBM Cloud Activity Tracker 的应用程序审计和访问日志记录 N/A N/A
使用 IBM Cloud Monitoring 进行应用程序监视 N/A N/A N/A
使用其他提供程序的应用程序日志记录 您可以使用第三方日志记录工具。 您可以使用第三方日志记录工具。 等于上次认证的 accessTokenMaxAgeSeconds
使用其他提供程序的系统或 Kubernetes 日志记录 您可以使用第三方日志记录工具。 您可以使用第三方日志记录工具。 等于上次认证的 accessTokenMaxAgeSeconds
针对度量的警报规则和页面调度 您可以在 IBM Cloud Monitoring中设置警报。 不会触发警报。 不适用

配置管理

已断开连接的配置管理
功能 已连接的行为 已断开连接的行为 最大断开连接容差
Satellite 配置 您可以使用 Satellite 配置来创建和管理配置。 无法使用 Satellite 配置来创建和管理配置。 不适用
Satellite 存储配置 您可以使用 Satellite 存储配置来创建和管理配置。 无法使用 Satellite 存储配置来创建和管理配置。 不适用

网络

断开连接的网络和服务网格管理
功能 已连接的行为 已断开连接的行为 最大断开连接容差
部署或更新策略 Satellite Service Mesh 您可以使用 CLI 和控制台来部署或更新策略。 您可以使用 kubectl 命令来部署和更新策略。 等于上次认证的 accessTokenMaxAgeSeconds