旋转 Red Hat OpenShift 证书（必填）

Red Hat OpenShift for VMware 使用的 kubelet 客户端证书必须出于安全目的定期轮换。Red Hat OpenShift 主要自动执行轮换流程，但需要手动批准证书签名请求（CSR）。因此，请务必了解 Red Hat OpenShift 证书轮换时间表，以免证书过期。

在安装期间创建的初始证书将在创建 24 小时后到期。IBM 的自动化流程，该流程负责安装 Red Hat OpenShift，并处理首次轮换的CSR审批，具体操作是在堡垒机上运行一个脚本，持续30个小时。该脚本名为 /root/approve-csr.sh，其日志文件名为 /root/approve-csr.log。

要使该脚本成功运行，初始 kubeadmin 凭证必须相同，直到初始证书轮换完成。前 24 小时不要更改 kubeadmin 凭证。如果在此时间内更改了凭证，那么必须监视和核准初始证书轮换的 CSR。更多信息，请参阅 批准机器的企业社会责任。

在完成首次证书轮换之前，不要重新启动任何 Red Hat OpenShift 群集虚拟机 (VM) 或 bastion VM。

在初始证书轮换后，证书将每 30 天更新一次。您必须建立流程，用于核准每个证书轮换的 CSR。根据 Red Hat®，当CSR到期期限达到80%时，即可批准CSR，这大约相当于CSR有效期的25天。

如果您没有及时批准 CSR，证书过期了，您可以从过期的控制平面证书中恢复，并让 Red Hat OpenShift 集群重新运行。 更多信息，请参阅 《 从过期控制平面证书中恢复 》。

在部署后调整 Red Hat OpenShift 虚拟机的大小

1. 使用 SSH 登录 bastion 虚拟机。
2. 成为 root 用户：sudo -i 用户
3. 关闭目标虚拟机：ssh core@<vm-ip> sudo shutdown -h 0
4. 关闭虚拟机电源后，在 vCenter Server 中调整虚拟机大小。
5. 打开 VM 的电源。
6. 在 Red Hat OpenShift 控制台中，转到 Compute > Nodes 并等待重新启动的虚拟机回到 Ready 状态。
7. 为所有虚拟机完成前面的步骤。

更改 Red Hat OpenShift bastion 虚拟机上的 SSH 密钥

安装过程中生成的SSH密钥对位于 Red Hat OpenShift 堡垒机虚拟机上。SSH 密钥对的位置显示在 Red Hat OpenShift 服务详细信息页面上。 所有集群虚拟机上都安装了此 SSH 密钥，以便无需密码即可从堡垒登录 SSH。

建议生成新的 SSH 密钥对并用于替换现有密钥。要生成新的 SSH 密钥对，请使用 如何在安装 Openshift 4 后更新 ssh 密钥 中的说明。 您必须在 bastion 虚拟机上运行这些命令。 有关登录到防御主机的更多信息，请参阅防御主机详细信息。

扩大 Red Hat OpenShift 集群，增加更多员工

要添加更多工作虚拟机来扩展您的 Red Hat OpenShift 集群，请完成以下步骤：

1. 使用RHCOREOS模板创建一个工作虚拟机：

   1. 确保虚拟机与其他 Red Hat OpenShift 工作虚拟机连接到同一网络。
   2. 先不要打开该虚拟机，因为还需要更多配置步骤。

2. 准备一个堡垒上的工人点火文件：

   1. 有关登录到防御主机的更多信息，请参阅防御主机详细信息。
   2. 在防御主机上的安装目录中，找到名为 worker.ign 的工作程序 ignition 文件。 使用 base64 -w0 worker.ign > worker.ign.b64 命令创建此文件的 Base64 版本。 您将在下一步中使用新创建的 worker.ign.b64 文件的内容。

3. 设置虚拟机属性：

   1. 开始之前，请关闭虚拟机电源。 然后，转到“配置参数”窗口，选择新的 Worker VM，并单击 Actions > Edit Settings。
   2. 在“编辑设置”窗口中，单击 VM 选项选项卡。 单击左侧的 Advanced 展开窗口中的 Advanced 部分。 然后，向下滚动到左侧的 配置参数。单击 编辑配置。
   3. 配置参数 "窗口可能会列出一长串虚拟机的现有参数。 要添加值，请单击 添加配置参数。 显示的两个空字段分别标有 Name 和 Value 供您填写。 在以下 3 个步骤中使用此流程。
   4. 创建一个名为 guestinfo.ignition.config.data 的值，并将其设置为之前创建的 base64-encoded 点火配置文件 worker.ign.b64 的内容。
   5. 创建一个名为 guestinfo.ignition.config.data.encoding 的值，并将其设置为 base64。
   6. 创建一个名为 disk.EnableUUID 的值，并将其设置为 TRUE。
   7. 创建新参数后，单击 OK 两次关闭打开的窗口。

4. 为工作虚拟机创建一个DHCP绑定：

   1. 登录 NSX-T™。
   2. 前往 “网络”>“细分市场”。
   3. 编辑 ocp-internal 段。
   4. 展开 DHCP 静态绑定，然后单击 设置，打开设置静态绑定窗口。
   5. 查看现有绑定列表，记下下一个可用的 IP 地址。
   6. 检查其中一个现有 Worker 绑定，查看稍后需要的信息。 记下网关地址和 DHCP 选项。 要查看 DHCP 选项，请单击 DHCP 选项旁边的 设置。 在选项窗口中，从 Select DHCP Option 列表中选择 Generic Options。 记下所设置的选项。
   7. 关闭正在检查的现有绑定，返回“设置静态绑定”窗口。
   8. 单击 添加 IPV4 静态绑定。 填写新工作者的详细信息，包括之前记录的 DHCP 选项。
   9. 完成后，单击 保存 提交更改。

5. 将一名工作人员添加到负载均衡器池中：

   1. 转到 Networking > Load Balancer > Server Pools。
   2. 编辑服务器池 ocp-apps。
   3. 在编辑窗口的 Members/Group 下，单击蓝色数字链接。 缺省值为 3。
   4. 打开“配置服务器池成员”窗口后，单击 添加成员。
   5. 输入新工人的姓名和 IP 地址。 端口号留空。
   6. 单击 保存，然后单击 应用。

6. 为新员工创建DNS记录：

   1. 登录您的 VCF for Classic - Automated 实例的AD NS服务器。
   2. 使用 DNS 管理器将新的 A 记录添加到相应的 ocp 专区。创建A记录时，请确保选中创建关联PTR记录的选项。

7. 核准来自防御主机的任何证书签名请求 (CSR)。 在配置新员工期间，你可能必须 批准来自堡垒的 CSR：

   1. 以 root 用户身份登录 bastion，并更改为 bastion 安装目录。 有关详细信息，请参阅 基础详细信息。

   2. 在运行任何命令之前，您必须先向 Red Hat OpenShift 进行身份验证：

      • 如果未配置认证，并且您使用的是缺省 kubeadmin 帐户和密码，请运行 export KUBECONFIG=auth/kubeconfig 命令，并验证您是否已通过运行 ./oc whoami 命令进行认证。
      • 如果其他后端或用户已通过认证，请按照 Red Hat OpenShift 文档中的说明使用其中一个账户登录，例如，运行命令 ./oc login。

   3. 运行 ./oc get nodes 查看新工人。如果它不在就绪状态，请使用命令 ./oc get csr 反复检查待处理的 CSR，然后使用命令 ./oc adm certificate approve <csr_name> 批准 CSR。继续检查，直到配置完成，新工人进入就绪状态。

      当新员工进入就绪状态后，Red Hat OpenShift 即可使用。

8. 打开虚拟机电源：

   • 虚拟机启动后，您可以监控虚拟机，查看是否存在问题。该 VM 会获取 IP 地址，处理 ignition 文件，然后打开登录提示。

   • 显示登录提示后，控制台日志消息可能会覆盖该提示。如有需要，请在控制台上按几次回车键。 如果登录提示出现，但被控制台日志消息覆盖，请按回车键重新显示登录提示。

   • 如果不显示登录提示，则可能是

     • 虚拟机没有获得 IP 地址。 检查虚拟机连接的网络。 另外，检查 DHCP 绑定设置。
     • worker.ign.64 中的 base64 值不正确。 可能缺少某些字符，或者有多余的字符。 检查数值以确认。

     如果因为虚拟机没有显示登录提示而必须更改任何设置，请关闭虚拟机，更改必要的设置，然后重新启动。

删除 Red Hat OpenShift 时的注意事项 VMware

• 在删除 VMware 的 Red Hat OpenShift 之前，必须删除在 VMware 的 ocp 目录中创建的任何其他虚拟机。 VMware Solutions自动化只会删除在Red Hat OpenShift（虚拟机、存储和NSX）初始安装期间部署的项目。 不会清除在安装后部署的任何节点。
• 在 Red Hat OpenShift 为 VMware 的初始部署期间创建的VXLAN、DLR和边缘网关将被删除。 在删除 Red Hat OpenShift for VMware 后，您在VXLAN上部署的虚拟机将失去连接。
• 如果群集使用 NFS 存储，则删除 Red Hat OpenShift 会删除安装时添加的 NFS 数据存储。
• 如果您使用的是 vSAN 数据存储，请在卸载 Red Hat OpenShift 之前删除不再需要的任何持久卷。在 Red Hat OpenShift 卸载后，任何未删除的文件将保留在 vSAN 存储中。
• 删除服务之前，必须从存储中删除使用此服务部署的任何个人虚拟机。Red Hat OpenShift 只有在不是 vSAN 的情况下才会订购个人虚拟机。

相关链接

• 为 VCF for Classic - Automated 实例订购服务
• 获取帮助与支持
• 有关 VCF for Classic 的一般常见问题