问题标签 [okd]

我已经部署了一个新的 OKD 集群 (3.11)，并且我选择了身份提供者LDAPPasswordIdentityProvider

配置如下：

我已经用这个 URL 尝试了两种可能性。在我总是得到的日志上：

我不明白为什么过滤器显示为 (&(objectClass=*)(uid=... 显示为过滤器未正确解析，尽管 URL 如上所述。我还检查了主配置.yaml，它作为我的 ini 文件是正确的。

如果我做 ldapsearch 我得到预期的结果：

LDAP 服务器是 FreeIPA。

请帮忙！

我正在尝试在 Openshift 3.x 上运行 Quarkus 本机映像应用程序。

我按照 Quarkus 的说明在 Fedora 机器上生成了本机映像：

./mvnw package -Pnative

我已经验证生成的二进制文件在 Fedora 机器上运行正常：

然后我将该图像插入到 Docker 容器中：

我在 Openshift 中构建映像，部署容器时失败：

错误：无法启动容器“quarkus-native-ms-users”：来自守护进程的错误响应：{“message”：“无效的标头字段值\”oci运行时错误：container_linux.go：247：启动容器进程导致\\” exec: \\\\"./application\\\\": 权限被拒绝\\"\n\""}

这张图片有什么问题？

使用 okd/openshift-origin 3.11（和以前的版本），我们无法让匿名图像拉取工作。

我们已经尝试将各种组添加到registry-viewer角色中，如添加该功能的合并请求中的说明所示。

我们尝试过：

在 GUI 中查看注册表时，访问策略显示Anonymous: Allow all unauthenticated users to pull images

然而，这是尝试拉动时的结果：

我们缺少什么？

我的公司正在玩 OKD。我有一个关于 4.1 版何时可供公众使用的问题。在这方面的任何评论将不胜感激。

我正在尝试在我的集群上安装 EFK，但遇到了问题。这是我的节点描述片段（okd 3.11）

在我的库存文件中，我有这些变量

但是我在运行日志记录手册时不断遇到的错误是

节点选择器的正确语法是什么让这个东西把弹性搜索放在基础设施节点上？

我正在建立一个新的 k8s 集群，我发现 BuildConfig 和 ImageStream 的概念很有趣。但我没有购买 Openshift 支持的动力，因为项目环境不允许这样做。

所以我想知道在生产环境中使用 OKD 集群是否安全，是否有一个实体示例已经在生产级使用它？

我正在尝试在 Openshift 3.11 上实现基于标头的路由。

我的意思是，我希望 HAProxy 根据标头的存在和值而不是主机名将请求路由到某个服务。标头值将在路由配置中设置。

我知道使用 HAProxy 可以做到这一点，但我不知道该怎么做。我遵循了我在此处找到的一条建议，但似乎配置已更改并且不再起作用。

任何建议都会受到欢迎。我有一个替代方案，那就是放置一个可以完成工作的第二个代理，但这一点都不优雅......

我成功地将 mkp224o 容器化以生成虚荣 v3 洋葱地址，并且我成功地直接从 docker 运行映像，但是在我的 OKD 集群中，映像启动并且我得到了一个正在使用 CPU 的正在运行的 Pod，但 Pod 日志中没有显示任何结果或写入磁盘。

docker run --rm mkp224o -d /tmp f # 在本地和集群节点上生成结果

如果我做oc edit dc并添加args:"/onion/mkp224o -d /tmp f" # 没有结果写入/显示

我期待，因为它从 docker 运行并显示结果，它应该在 pod 内的集群上执行相同的操作。

在裸机或虚拟机上运行 open shift 3 / okd 是否有意义

• 各自的优缺点是什么？
• 如果在虚拟机上运行会不会影响整体性能？

我安装了一个 OpenShift 集群用于测试目的，并且由于我在公司网络后面，我需要在任何想要发出外部请求的 Pod 中包含一些根证书。在创建 Pod 时如何自动注入这些证书？

我在本地 CentOS 7 VM 中运行 OpenShift Origin (OKD) 3.11，并在其上配置了 GlusterFS 存储。我的虚拟机本身已经有多个问题，这在尝试访问网络时给了我错误：x509: certificate signed by unknown authority. 我通过在 /etc/pki/ca-trust/source/anchors 中添加我的公司根证书并运行update-ca-trust命令来解决这个问题。

例如，当我在 OpenShift 集群中运行 docker-registry 部署时，由于创建的 Pod 无权访问主机根证书，因此x509: certificate signed by unknown authority在尝试从 docker.io 提取图像时再次出错。我通过创建一个包含所有需要的根证书的 ConfigMap 并将它们安装在注册表部署配置上的一个卷中解决了这个问题。

我以为我只需要在所有想要请求外部网络的部署配置中安装一个卷。但后来我配置了一个 Jenkins 实例，我意识到了一些新的东西：当管道运行时，Jenkins 会创建一个带有适配代理的 Pod（例如：Spring Boot 应用程序需要一个 Maven 代理）。由于我无法控制这些创建的 pod，因此它们无法拥有带有所有根证书的已安装卷。因此，例如，我有一个helm init --client-only在发布我的应用程序图表之前运行的管道，并且这个命令给出了一个x509: certificate signed by unknown authority错误，因为这个 pod 没有根证书。

x509 错误截图

我发现 PodPreset 可能是解决我的问题的完美方法，但是当我在集群中启用此功能并创建 PodPreset 时，不会填充新的 pod。我在OpenShift 文档中读到 PodPresets 从 3.7 开始不再受支持，所以我认为这可能是它无法正常工作的原因。

OpenShift 文档截图

这是我的 PodPreset 定义文件：

我不知道是否有任何方法可以使 PodPresets 在 OpenShift 3.11 上运行，或者是否有另一种解决方案可以在创建的 pod 中注入这样的证书文件。这真的很棒。